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出 版 说 明 


信息 与 通信 工程 学 科 是 信息 科学 与 技术 的 重要 组 成 部 分 。 改 革 开 放 以 来 ,我 国 在 发 展 
通信 系统 与 信息 系统 方面 取得 了 长 足 的 进步 ,形成 了 巨大 的 产业 与 市 场 ,如 我 国 的 电话 网 络 
规模 已 位 居 世 界 首位 ,同时 该 领域 的 一 些 分 支 学 科 出 现 了 为 国际 认可 的 技术 创新 ,得 到 了 迅 
猛 的 发 展 。 为 满足 国家 对 高 层次 人 才 的 迫切 需求 ,当前 国内 大 量 高 等 学 校 设 有 信息 与 通信 
工程 学 科 的 院 系 或 专业 ,培养 大 量 的 本 科 生 与 研究 生 。 为 适应 学 科 知 识 不 断 更 新 的 发 展 态 
势 , 他 们 迫切 需要 内 容 新 颖 又 符合 教改 要 求 的 教材 和 教学 参考 书 。 此 外 ,大 量 的 科研 人 员 与 
工程 技术 人 员 也 迫切 需要 学 习 . 了解、 掌握 信息 与 通信 工程 学 科 领 域 的 基础 理论 与 较为 系统 
的 前 沿 专业 知识 。 为 了 满足 这 些 读者 对 高 质量 图 书 的 渴求 ,清华 大 学 出 版 社 组 织 国 内 信息 
与 通信 工程 国家 级 重点 学 科 的 教学 与 科研 骨干 以 及 本 领域 的 一 些 知 名 学 者 、 学 术 带 头 人 编 
写 了 这 套 高 等 院 校 信息 与 通信 工程 系列 教材 。 

该 套 教材 以 本 科 电 子 信息 工程 .通信 工程 专业 的 专业 必修 课程 教材 为 主 ,同时 包含 一 
些 反 映 学 科 发 展 前 沿 的 本 科 选 修 课程 教材 和 研究 生 教学 用 书 。 为 了 保证 教材 的 出 版 质 
量 ,清华 大 学 出 版 社 不 仅 约请 国内 一 流 专家 参与 了 丛书 的 选 题 规划 ,而 且 每 本 书 在 出 版 前 
都 组 织 全 国 重 点 高 校 的 骨干 教师 对 作者 的 编写 大 纲 和 书稿 进行 了 认真 审核 。 

祝愿 4 高 等 院 校 信息 与 通信 工程 系列 教材 》 为 我 国 培养 与 造就 信息 与 通信 工程 领域 的 
高 素质 科技 人 才 ,推动 信息 科学 的 发 展 与 进步 做 出 贡献 。 


北京 邮电 大 学 
陈 俊 亮 
2004 年 9 月 
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本 书 的 编写 经 历 了 近 四 年 ,主要 作为 信息 安全 类 本 科 生 和 研究 生 的 教学 参考 书 。 

全 书 从 基本 概念 人 手 , 通 过 Internet 协议 的 实际 例子 ,建立 网 络 协 议 的 概念 ,分 析 了 
Internet 协议 不 安全 的 原因 ,介绍 了 安全 协议 的 密码 学 基础 ,分 析 了 安全 协议 与 密码 学 的 
关系 ,介绍 了 利用 不 同 的 密码 算法 建立 安全 信道 。 从 第 4 章 开 始 ,介绍 基本 的 安全 协议 、 
抗 攻 击 的 安全 协议 和 实际 使 用 的 安全 协议 。 附 录 中 介绍 了 最 新 的 几 类 密码 算法 。 每 章 都 
附 有 重点 和 难点 分 析 , 并 附 有 习题 与 思考 题 。 

本 书 共 分 为 三 个 部 分 。 

第 一 部 分 : 基本 概念 和 Internet 中 的 协议 (第 1 章 和 第 2 章 )。 

第 二 部 分 : 安全 协议 ,分 为 三 个 内 容 : 安全 协议 的 密码 学 基础 (第 3 章 ) .基本 安全 协 
议 ( 第 4 章 ) . 抗 攻击 的 安全 协议 (第 5 章 ) 。 

第 三 部 分 : 实际 使 用 的 安全 协议 (第 6 章 ) 。 


本 书 的 三 个 部 分 基本 上 是 关联 的 , 既 可 以 从 概念 入 手 讲解 ,也 可 以 先 从 实际 例子 开始 
最 后 得 到 理性 的 知识 。 


参与 本 教材 编写 的 主要 人 员 有 : 王 庆 先 博士 \ 朱 大 勇 博 士 ; 实验 室 学 生 沈 丹 、 丁 旭 
阳 、 张 涛 ,其 中 第 4 章 和 第 5 章 的 绝 大 部 分 插图 以 及 附录 是 沈 丹 同学 编制 的 。 关 在 这 里 向 
他 们 表示 诚挚 的 谢意 。 
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第 la 基本 概念 


章 是 网 络 安全 协议 中 关于 网 络 、 安 全 及 密码 学 的 基础 知识 。 
本 章 分 5 个 小 节 , 第 1.1 节 介 绍 网 络 基 础 以 及 网 络 协议 的 概念 ; 第 1. 2 节 介 绍 网 络 
安全 的 概念 ; 第 1. 3 节 介 绍 网 络 的 协议 ; 第 1.4 节 介 绍 网 络 协议 面临 的 威胁 ; 第 1.5 节 


1.1 网 络 基础 及 网 络 协 议 的 概念 


简单 地 说 ,网 络 是 由 两 台 以 上 计算 机 借助 于 协议 连 在 一 起 组 成 的 “计算 机 群 ”", 青 加 上 
相应 “通信 设备 ”组 成 的 综合 系统 。 

早期 的 计算 机 应 用 模式 是 单机 ,其 发 展 过 程 有 小 型 机 、 中 型 机 、 大 型 机 。 单 台 计 算 机 
能 干 很 多 事情 。 虽 然 计算 机 的 速度 越 来 越 快 、 性 能 越 来 越 高 、 容 量 越 来 越 大 ,但 还 是 存在 
一 些 美中不足 。 比 如 办 公 室 为 每 个 人 都 配备 了 一 台 最 新 式 计 算 机 ,但 是 打印 机 的 配备 却 
成 了 问题 。 如 果 只 为 一 台 或 者 几 台 计算 机 配备 打印 机 ,那些 没有 配备 打印 机 的 人 打印 时 
就 需要 把 文件 用 磁盘 复制 到 有 打印 机 的 计算 机 上 去 打印 ,不 仅 麻烦 ,而 且 也 耽误 别人 的 时 
间 。 另 一 方面 ,如 果 给 所 有 计算 机 都 配备 打印 机 ,它们 多 数 情况 下 是 处 于 闲置 状态 ,很 明 
显 这 是 一 种 浪费 。 如 果 只 给 一 台 或 几 台 计算 机 配备 打印 机 ,而 其 他 所 有 计算 机 都 可 以 利 
用 这 些 打印 机 ,并 且 相 互 之 间 不 影响 工作 ,这 就 是 资源 共享 。 

可 以 在 网 络 上 共享 的 资源 除了 打印 机 之 外 ,还 有 硬盘 、 光 盘 、 绘 图 仪 .扫描 仪 以 及 各 类 
软件 .文本 和 各 种 信息 资源 等 。 在 网 络 中 共享 资源 既 节省 了 大 量 的 投资 和 开支 ,又 便于 集 
中 管理 。 

利用 网 络 可 以 进行 信息 交换 和 信息 的 集中 与 分 散 处 理 , 比 如 说 一 家 公司 ,有 生产 部 、 
仓储 部 ,市 场 部 、 财 务 部 等 很 多 部 门 和 分 公司 。 这 些 部 门 和 分 公司 在 地 理 位 置 上 并 不 在 一 
起 。 但 是 作为 一 个 现代 化 的 大 公司 ,各 个 业务 部 门 需要 随时 知道 其 他 部 门 的 各 种 数据 : 
分 散 的 销售 数据 需要 及 时 集中 起 来 配合 仓储 部 的 库存 和 生产 部 的 生产 ,分 散 的 财务 数据 
也 需要 随时 送 到 财务 部 集中 处 理 以 配合 公司 的 整体 行动 。 诸 如 此 类 , 称 为 信息 交换 和 信 
息 的 集中 与 分 散 处 理 。 这 些 都 需要 依托 网 络 才 能 做 到 。 

计算 机 网 络 并 不 是 随 着 计算 机 的 出 现 而 出 现 的 ,而 是 随 着 社会 对 资源 共享 和 信息 交 
换 与 及 时 传递 的 迫切 需要 而 发 展 起 来 的 。 它 是 现代 计算 机 技术 和 通信 技术 密切 结合 的 产 
物 。 说 得 准确 一 些 , 计 算 机 网 络 就 是 利用 通信 设备 和 通信 线路 ,把 位 于 不 同 地 点 的 计算 机 
等 设备 相互 联 起 来 ,用 相应 的 协议 软件 实现 资源 共享 和 信息 交换 的 系统 。 

早期 的 网 络 是 一 个 单位 的 几 台 计算 机 用 一 根 电缆 串 在 一 起 ,实现 局 部 资源 共享 和 信 
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息 交 换 。 今 天 的 网 络 ,把 世界 上 百 个 国家 的 大 大 小 小 几 千 万 台 计 算 机 连 为 一 体 ,形成 硕大 
无 比 像 蜂 蛛网 一 样 的 “怪物 ”, 在 全 世界 范围 内 实现 全 方位 的 资源 共享 和 信息 交换 。 这 
就 是 Internet, 也 称 为 国际 互联 网 或 因特网 。 对 于 一 个 单位 来 说 ,只 要 把 这 个 单位 网 络 
的 对 外 连 线 往 Internet 一 搭 , 网 络 性 质 就 从 根本 上 改变 了 ,其 外 延 与 内 涵 都 产生 了 根本 
的 变化 。 

网 络 带 来 的 好 处 主要 体现 在 资源 共享 、 信 息 交 换 与 及 时 传递 两 个 方面 。 就 拿 资 源 共 
享 来 说 吧 ,一 个 办 公 室 或 者 几 个 办 公 室 只 安装 一 台 打 印 机 而 不 耽误 工作 ; 一 个 公司 或 者 
图 书馆 只 购买 一 份 昂贵 的 软件 ,公司 里 所 有 人 都 可 以 随意 使 用 ; 火车 站 或 者 航空 公司 售 
票 处 ,把 票务 信息 汇总 后 放 在 网 上 ,任何 人 都 可 以 随时 在 网 上 查阅 ,知道 某 一 次 列车 或 者 
航班 还 有 多 少 张 票 。 诸 如 此 类 , 既 节约 资金 ,又 减少 重复 劳动 。 

在 网 络 中 进行 信息 交换 与 及 时 传递 好 处 则 更 大 。 因 为 有 了 计算 机 网 络 《 人 民 上 日 报 》 
就 能 在 北京 制 完 版 后 几 分 钟 内 ,将 版 样 传送 到 全 国 各 地 ,甚至 国外 的 印 制 点 。 这 样 ,在 早 
晨 6 点 多 钟 便 可 以 从 报 上 知道 报纸 印 制 前 半 小 时 发 生 的 新 闻 ; 也 是 因为 有 了 网 络 , 花 都 
的 农民 在 家 中 便 可 以 把 鲜花 推销 到 志 界 各 国 ; 韶关 的 孩子 坐 在 家 中 就 可 以 上 广州 师范 附 
中 的 网 校 ,接受 全 国 特 级 教师 的 课外 辅导 。 可 以 这 么 说 , 正 是 因为 可 以 通过 网 络 进行 远 距 
离 的 信息 交换 和 及 时 传递 ,网 络 改 变 了 时 空 , 人 与 人 之 间 的 距离 变 近 了 ,地 球 变 小 了 ,信息 
BT. 

1.1.1 网 络 的 构成 和 分 类 

计算 机 网 络 是 计算 机 技术 和 数据 通信 技术 紧密 结合 的 产物 。 所 谓 计算 机 网 络 ,通俗 
地 讲 , 就 是 将 地 理 位 置 不 同 的 多 个 计算 机 系统 通过 通信 设备 和 线路 连接 起 来 ,以 功能 完善 
的 网 络 软件 (在 协议 控制 下 ) 实 现 网 络 中 资源 共享 和 数据 交换 的 系统 , 见 图 1-1。 

通信 协议 通信 协议 


(mm) 信息 
=) ol 


发 送 设备 通信 设备 传输 媒介 通信 设备 ”接收 设备 
图 1-1 网 络 的 构成 


一 个 用 计算 机 联网 的 通信 系统 一 般 由 6 个 部 分 组 成 。 

(1) 信息 Cmessage): 包括 文字 声音、 图 像 等 数据 。 

(2) 发 送 设备 : 又 称 “ 主 机 ”(host) 各 种 信息 处 理 设备 (计算 机 等 )。 

(3) 接收 设备 : 同 发 送 设 备 。 

CA) 通信 设备 : 负责 主机 间 的 通信 控制 和 通信 处 理 。 

(5) 传输 媒介 : 各 种 电线、 光纤 .无线 电波 等 。 

(6) 通信 协议 : 通信 规则 (无 协议 的 两 台 设备 可 以 连接 但 无 法 通信 ,如 同 讲 不 同 语言 
的 两 人 无 法 对 讲 ) 。 

网 络 可 分 为 资源 子 网 和 通信 子 网 两 部 分 , 见 图 1-2。 
其 中 ,资源 子 网 包括 硬件 资源 (主机 终端 1/O 设备 等 )、 软 件 资源 、 数 据 资 源 等 ,负责 
全 网 数据 处 理 业 务 ,向 网 络 用 户 提供 各 种 网 络 资源 和 网 络 服务 : 通信 子 网 包括 传输 介质 
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图 1-2 资源 子 网 和 通信 子 网 


(电缆 .光纤 .无线 电波 等 )、 通信 设 备 ( 交 换 机 等 ) ,承担 全 网 的 数据 传输 、 转 接 `. 加工 和 变换 
等 通信 处 理工 作 。 

按 网 络 的 规模 和 地 理 位 置 ,网 络 可 分 为 如 下 几 种 。 

(1) 局 域 网 (local area network, LAN): 一 般 在 小 于 10km 的 范围 区 域内 ,通常 采用 
有 线 的 方式 连接 起 来 。 局 域 网 通常 用 于 一 个 单位 一座 大 楼 或 相应 楼 群 之 间 , 也 特别 适合 
于 一 个 地 域 跨度 不 大 的 企业 建立 内 部 网 , 即 Intranet。 

(2) 园区 网 : 介 于 局 域 网 和 广域网 之 间 的 网 络 。 

(3) 城 域 网 (metropolitan area network. MAN): 规模 局 限 在 一 座 城市 的 范围 内 ， 
10 一 100km 的 区 域 。 


(4) 广域网 (wide area network, WAN): 网 络 
跨越 国界 、 洲 办 ,甚至 全 球 范围 。Internet 是 著名 的 
广域网 。 


按 网 络 权限 关系 ,网 络 可 分 为 内 部 网 (intranet) | 
和 外 部 网 Cextranet) 。 O O O 
按照 拓扑 结构 ,网 络 可 以 分 为 总 线 型 、 星 形 、 环 a 号 = 


FE FA PA EA A E E N AS Dd Sj AS E E Pd HS). BL 图 1-3 总 线 型 网 络 拓扑 
图 1-3 和 图 1-4。 
o * g a B 
[= 
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CE Ce Ce 


图 1-4 星 形 网 络 拓扑 、 环 形 以 太 网 拓扑 和 网 格 网 拓扑 
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按 传输 介质 ,网 络 可 以 分 为 如 下 几 种 。 
(1) 有 线 网 : 采用 同 轴 电 缆 或 双 绞 线 来 连接 的 计算 机 网 络 。 因 速度 有 限 ,技术 落后 ， 


已 被 淘汰 。 
双 绞 线 网 是 目前 最 常见 的 联网 方式 。 它 价格 便宜 ,安装 方便 。 因 距离 短 , 适 于 局 域 
网 内 。 


(2) 光纤 网 : 光纤 网 也 是 有 线 网 的 一 种 ,但 由 于 其 特殊 性 而 单独 列 出 。 光 纤 网 采用 
光 导 纤维 做 传输 介质 ,光纤 传输 距离 长 ,传输 率 高 ,可 达 数 千 兆 比特 每 秒 , 甚 至 更 高 , 抗 干 
扰 能 力 强 ,不 会 受到 电子 监听 设备 的 监听 ,是 高 安全 性 网 络 的 理想 选择 。 已 被 广泛 应 用 。 

(3) 无 线 网 : 采用 空间 做 传输 介质 ,用 电磁 波 作为 载体 来 传输 数据 。 巾 于 联网 方式 
灵活 方便 ,是 一 种 很 有 前 途 的 联网 方式 。 


1.1.2 网 络 的 发 展 


计算 机 网 络 产 生 于 20 世纪 60 年 代 , 如 前 所 述 , 其 发 展 动力 主要 有 资源 共享 的 需求 、 
大 型 项 目的 合作 ,以 及 人 与 人 之 间 的 沟通 需要 。 

按 体系 结构 的 发 展 来 分 ,网 络 的 发 展 过 程 大 致 可 以 分 为 以 主机 为 中 心 的 联机 终端 系 
统 、 以 通信 子 网 为 中 心 的 主机 互联 ,以 及 具有 层次 化 体系 结构 的 标准 化 网 络 三 个 阶段 。 


1. 以 主机 为 中 心 的 联机 终端 系统 


这 种 联机 系统 是 早期 网 络 的 积 形 ,其 特征 主要 是 共享 主机 软 硬 件 资 源 ,其 构成 可 分 为 
单 台 主 机 (担负 计算 和 通信 任务 ) 和 多 台 终 端 ( 担 
负 与 用 户 的 交互 任务 )。 这 种 网 络 中 ,连接 方式 主 
要 是 本 地 或 远程 连接 ,如 图 1-5 所 示 。 

这 种 网 络 的 例子 有 飞机 订 票 系统 , 其 中 
HOST 为 航空 公司 ,终端 为 各 订 票 点 ,采用 的 通 
信 线 路 一 般 为 电话 线路 。 这 种 网 络 的 缺点 主要 是 
主机 负荷 重 , 既 要 完成 数据 处 理 还 要 进行 通信 ,此 
外 线路 利用 率 也 低 。 对 这 种 网 络 的 改进 方法 是 ， 
终端 集中 器 (集线器 ) 加 上 主机 的 前 端 处 理 机 ,使 《图 15 以 主机 为 中 心 的 联机 终端 系统 
通信 任务 与 处 理 任务 分 离 。 


2. 以 通信 子 网 为 中 心 的 主机 互联 

这 种 网 络 的 特征 是 多 个 终端 联机 系统 的 互联 :形成 以 多 主机 为 中 心 的 网 络 ,网 络 结构 
从 “主机 -终端 ”转变 为 “主机 -主机 ”, 如 图 1-6 所 示 。 

3. 具有 层次 化 体系 结构 的 标准 化 网 络 的 演变 

主机 -主机 网 络 的 演变 如 下 。 

A) 演变 阶段 1: 通信 任务 从 主机 中 分 离 ,由 通信 控制 处 理 机 CCP 完成 ,CCP 是 处 理 
主机 之 间 通 信任 务 的 专用 计算 机 , 见 图 1-7。 


CT) HOST <T) 


通信 线路 


图 1-6 以 通信 子 网 为 中 心 的 主机 互联 


图 1-7 主机 -主机 网 络 的 演变 第 一 阶段 


C2) 两 层 网 络 概念 的 出 现 : 由 CCP 组 成 的 传输 网 络 一 一 通信 子 网 ,为 主机 提供 信息 
传输 服务 ; 建立 在 通信 子 网 基础 上 的 主机 集合 一 一 资源 子 网 ,提供 计算 资源 , 见 图 1-8。 
在 两 层 网 络 的 通信 子 网 上 可 有 多 个 资源 子 网 ,共享 通信 子 网 的 服务 。 

i 


HOST 


图 1-8 两 层 网 络 


(3) 使 用 公用 数据 网 络 : 通信 子 网 规模 逐渐 扩大 ,从 私有 网 络 拓展 到 社会 公用 网 络 ， 
利用 公用 数据 通信 网 (如 PSTN VX. 25 等 ) 实 现 . 见 图 1-9. 
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一 台 计 算 机 连 入 网 络 以 后 ,具有 共享 资源 、 9 
提高 可 靠 性 、 分 担负 荷 和 实现 实时 管理 等 优点 。 
网 络 具有 以 下 几 个 特点 : HOST 


C1) 开放 式 的 网 络 体系 结构 ,使 不 同 软 硬 
件 环境 .不 同 网 络 协 议 的 网 可 以 互联 ,真正 达到 
资源 共享 .数据 通信 和 分 布 处 理 的 目标 。 

(2) 向 高 性 能 发 展 。 追 求 高 速 .高 可 靠 和 
高 安全 性 ,采用 多 媒体 技术 .提供 文本 、 声 音 、 区 HOST HOST |—{T) 
像 等 综合 性 服务 。 名 总 

(3) 网 络 的 智能 化 ,多 方面 提高 网 络 的 性 ae el 
能 和 综合 的 多 功能 服务 ,更 加 合理 地 进行 各 种 ea 
网 络 业务 的 管理 , 直 正 以 分 布 和 开放 的 形式 向 用 户 提供 服务 。 

一 般 来 说 ,网 络 可 以 提供 以 下 一 些 主要 功能 ， 

C1) 资源 共享 。 

(2) 信息 传输 与 集中 处 理 。 

(3) 均衡 负荷 与 分 布 处 理 。 

(4) 综合 信息 服务 。 

目前 ,网 络 还 处 于 迅速 发 展 的 阶段 。 网 络 技术 的 不 断 更 新 ,进一步 扩大 了 网 络 的 应 用 
范围 。 除 了 前 面 提 到 的 资源 共享 和 信息 传输 等 基本 功能 外 ,网 络 还 具有 以 下 几 个 主要 方 
面 的 应 用 。 

C1) 远程 登录 。 允 许 一 个 地 点 的 用 户 与 另 一 个 地 点 的 计算 机 上 运行 的 应 用 程序 进行 
交互 对 话 。 

(2) 电子 邮件 。 网 络 可 以 作为 通信 媒介 ,用 户 可 以 在 自己 的 计算 机 上 把 电子 邮件 
Ce-mailD) 发 送 到 世界 各 地 ,这 些 邮件 中 可 以 包括 文字 .声音 .图 形 .图 像 等 信息 。 

(3) 电子 数据 交换 。 电 子 数据 交换 (EDD 是 网 络 在 商业 中 的 一 种 重要 的 应 用 形式 。 
它 以 共同 认可 的 数据 格式 ,在 贸易 伙伴 的 计算 机 之 间 传 输 数据 ,代替 了 传统 的 贸易 单据 ， 
从 而 节省 了 大 量 人 力 和 财力 ,提高 了 效率 。 

C1) 联机 会 议 。 利 用 网 络 , 人 们 可 以 通过 个 人 计算 机 参加 会 议 讨论 。 联 机 会 议 除了 
可 以 使 用 文字 外 ,还 可 以 传送 声音 .图 形 和 视频 。 总 之 ,网 络 的 应 用 范围 非常 广泛 , 它 已 经 
渗透 到 国民 经 济 以 及 人 们 日 常生 活 的 各 个 方面 。 


1.2 网 络 安全 的 概念 


随 着 计算 机 信息 系统 应 用 的 深入 ,计算 机 信息 系统 逐步 从 单机 向 局 域 网 、 广 域 网 发 
展 , 特 别 是 Internet 的 迅速 发 展 ,计算 机 信息 系统 安全 面临 新 的 、 更 严峻 的 挑战 。 

构成 计算 机 信息 系统 基础 的 计算 机 操作 系统 和 网 络 的 千差万别 ,实现 计算 机 连接 
的 多 种 网 络 拓扑 结构 的 混合 ,所 采用 介质 的 多 样 性 ,信息 的 集中 处 理 或 分 布 处 理 等 多 
种 形式 ,这 些 都 大 大 增加 了 计算 机 信息 系统 安全 问题 解决 的 难度 。 因 此 ,计算 机 信息 


> 
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系统 安全 不 再 是 系统 内 某 个 元 素 或 某 几 个 元 素 的 安全 ,而 是 系统 整体 的 安全 ， 不 再 是 
一 个 单纯 而 简单 的 问题 ,而 是 一 个 系统 工程 。 从 技术 角度 看 ,计算 机 系统 安全 包括 计 
算 机 安全 、 网 络 安全 和 信息 安全 。 其 中 信息 安全 是 主线 , 它 贯 穿 在 计算 机 安全 和 网 络 
安全 之 中 。 


1.2.1 网 络 安 全 的 含义 


网 络 安全 的 具体 含义 随 着 “角色 ”的 不 同 而 变化 。 具 体 有 以 下 几 个 方面 : 

(1) 从 用 户 ( 个 人 .企业 等 ) 的 角度 来 说 ,希望 涉及 个 人 隐私 或 商业 利益 的 信息 在 网 络 
上 传输 时 受到 机 密 性 、 完 整 性 和 真实 性 的 保护 ,避免 其 他 人 或 对 手 利用 窃听 、 骨 充 、 算 改 、 
抵赖 等 手段 侵犯 用 户 的 利益 和 隐私 ,同时 也 避免 其 他 用 户 的 非 授权 访问 和 破坏 。 

(2) 从 网 络 运 行 和 管理 者 角度 来 说 ,希望 对 本 地 网 络 信 息 的 访问 、 读 写 等 操作 受到 保 
护 和 控制 ,避免 出 现 * 陷 阱 ”病毒 .非法 存 取 、 拒 绝 服务 .网 络 资源 非法 占用 和 非法 控制 等 
威胁 ,制止 和 防御 网 络 黑客 的 攻击 。 

G) 对 安全 保密 部 门 来 说 ,希望 对 非法 的 有 害 的 或 涉及 国家 机 密 的 信息 进行 过 滤 和 
防 堵 ,避免 机 要 信息 泄露 ,避免 对 社会 产生 危害 ,对 国家 造成 巨大 损失 。 

(4) 从 社会 教育 和 意识 形态 角度 来 说 ,网 络 上 不 健康 的 内 容 会 对 社会 的 稳定 和 人 类 
的 发 展 造成 损害 ,必须 对 其 进行 控制 。 

(5) 但 是 从 本 质 上 来 说 ,网 络 安全 就 是 网 络 上 信息 的 安全 ,是 指 网 络 系统 的 硬件 、 软 
件 及 其 系统 中 的 数据 受到 保护 ,不 因 偶然 的 或 者 恶意 的 原因 而 遭 到 破坏 、 更 改 `. 泄露, 系统 
连续 可靠 ,正常 地 运行 ,网 络 服务 不 中 断 。 广 义 来 说 ,凡是 涉及 网 络 上 信息 的 保密 性 、 完 
整 性 、 可 用 性 、 真 实 性 和 可 控 性 的 相关 技术 和 理论 都 是 网 络 安全 所 要 研究 的 领域 。 网 络 安 
全 涉及 的 内 容 既 有 技术 方面 的 问题 ,也 有 管理 方面 的 问题 ,两 方面 相互 补充 , 缺 一 不 可 。 
技术 方面 主要 侧重 于 防范 外 部 非法 用 户 的 攻击 ,管理 方面 则 侧重 于 内 部 人 为 因素 的 管理 。 
如 何 更 有 效 地 保护 重要 的 信息 数据 、 提 高 网 络 系 统 的 安全 性 已 经 成 为 所 有 网 络 应 用 必须 
考虑 和 必须 解决 的 一 个 重要 问题 。 


1.2.2 不 同 环 境 和 应 用 中 的 网 络 安全 


运行 系统 安全 : 保证 信息 处 理 和 传输 系统 的 安全 。 侧 重 于 保证 系统 正常 运行 ,避免 
因为 系统 的 崩溃 和 损坏 而 对 系统 存储 、 处 理 和 传输 的 信息 造成 破坏 和 损失 ,避免 由 于 电磁 
泄漏 ,产生 信息 泄露 ,干扰 他 人 或 受 他 人 干扰 。 

网 络 系统 信息 的 安全 : 包括 用 户 密 码 认证 ,用 户 存 取 权 限 控制 ,数据 存 取 权限 和 方式 
控制 ,安全 审计 ,安全 问题 跟踪 ,计算 机 病毒 防治 ,数据 加 密 等 。 

网 络 信息 传播 安全 : 信息 传播 过 程 和 后 果 的 安全 ,包括 信息 过 滤 等 。 侧 重 于 防止 和 
控制 非法 、 有 害 的 信息 进行 传播 的 后 果 , 避 免 公用 网 络 上 大 量 自由 传输 的 信息 失控 。 

网 络 信息 内 容 的 安全 : 侧重 于 信息 的 保密 性 、 真 实 性 和 完整 性 。 避 人 免 攻 击 者 利用 系 
统 的 安全 漏洞 进行 窃听 、 冒 充 、 诈 骗 等 有 损 于 合法 用 户 的 行为 ,本 质 上 是 保护 用 户 的 利益 
和 隐私 。 
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1.2.3 网 络 安 全 的 重要 性 


随 着 计算 机 网 络 的 广泛 使 用 和 网 络 之 间 信 息 传 输 量 的 急剧 增长 .一些 机 构 和 部 门 在 
得 益 于 网 络 加 快 业务 运作 的 同时 ,其 数据 也 有 可 能 遭受 破坏 ,或 被 删除 或 被 复制 ,自身 利 
益 受 到 严重 威胁 。 

根据 国家 计算 机 病毒 应 急 处 理 中 心 和 计算 机 病毒 防治 产品 检验 中 心 的 调查 ,我 国 计 
算 机 病毒 感染 率 在 连续 两 年 呈 下 降 趋 势 后 ,2007 年 又 出 现 较 大 反弹 达到 91. 47%, 见 
图 1-10。 
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图 1-10 2001 年 至 2007 年 我 国 计 算 机 病毒 感染 率 


另 据 CNCERT/CC 接收 和 监测 的 网 络 安全 事件 情况 ,2007 年 我 国内 地 被 植 人 木马 
的 主机 IP 数量 增长 惊人 ,是 2006 年 的 22 4%. 2007 年 CNCERT/CC 抽样 监测 发 现 感 染 
木马 控制 程序 的 境内 外 主机 数 达 623 万 个 ,其 中 我 国内 地 有 362 万 个 IP 地 址 的 主机 被 植 
入 控制 程序 ,并 有 1 万 多 个 境外 控制 服务 器 对 我 国内 地 的 主机 进行 控制 。 

我 国 网 站 的 安全 问题 也 十 分 严峻 ,大 量 网 站 被 黑客 入 侵 和 算 改 ,甚至 被 植 入 木马 攻击 
程序 ,成 为 黑客 的 得 力 工具 。 

从 病毒 造成 破坏 的 情况 来 看 ,浏览 器 配置 被 修改 、 数 据 受 损 或 丢失 、 系 统 使 用 受 
限 、 网 络 无 法 使 用 、 密 码 被 盗 是 病毒 的 主要 破坏 方式 。 近 年 来 病毒 功能 越 来 越 强 大 ,不 
仅 拥有 蠕虫 病毒 传播 速度 和 破坏 能 力 ,而且 还 具有 木马 的 控制 计算 机 和 盗窃 重要 信息 
的 功能 。 

同时 ,网 上 贩卖 病毒 .木马 的 活动 不 断 增多 ,上 且 公开 化 。 利 用 病毒 、. 木 马 技 术 传播 垃圾 
邮件 和 进行 网 络 攻击 破坏 的 事件 旦 上 升 趋势 。 因 此 ,种 种 迹象 表明 ,病毒 的 制造 、 传 播 者 
追求 经 济 利益 的 目的 越 来 越 强 , 这 种 趋 利 性 引发 了 大 量 的 网 络 犯罪 活动 ,威胁 网 络 的 应 用 
与 发 展 。 
黑客 的 威胁 见 诸 报端 的 已 经 屡见不鲜 ,内 部 工作 人 员 的 不 小 心 甚至 可 能 充当 “间谍 ”。 
由 于 内 部 工作 人 员 能 较 多 地 接触 内 部 信息 ,工作 中 的 任何 不 小 心 都 可 能 给 信息 安全 带 来 
和 危险。 这 些 都 使 信息 安全 问题 越 来 越 复 杂 。 无 论 是 有 意 攻击 ,还 是 无 意 的 误 操 作 ,都 将 会 
给 系统 带 来 不 可 估量 的 损失 。 有 些 攻击 者 只 是 恶作剧 地 自 改 主页 面 ,或 采用 拒绝 服务 等 
攻击 ; 另 一 些 攻击 者 可 以 窃听 网 络 上 的 信息 . 穷 取 用 户 的 口令 、 数 据 库 的 信息 ,还 可 以 算 
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改 数据 库 内 容 , 伪 造 用 户 身 份 ,否认 自己 的 签名 。 更 有 甚 者 ,攻击 者 可 以 删除 数据 库 内 容 ， 
摧毁 网 络 节点 ,释放 计算 机 病毒 等 。 

综 上 所 述 ,在 享受 网 络 提供 的 资源 共享 、 信息 交 换 与 及 时 传递 的 好 处 的 同时 ,网 络 必 
须 有 足够 强 的 安全 措施 。 无 论 是 在 局 域 网 还 是 在 广域网 ,无论 是 单位 还 是 个 人 ,网 络 的 安 
全 措施 应 是 能 全 方位 地 针对 各 种 不 同 的 威胁 和 脆弱 性 ,这 样 才能 确保 网 络 信 息 的 保密 性 、 
完整 性 和 可 用 性 。 

要 想 保 持 长 久 , 就 必须 防 患 于 未 然 。 一 方面 ,人 类 越 来 越 依靠 计算 机 ,计算 机 被 人 们 
认为 是 21 世纪 每 个 人 的 必修 课 , 人 们 的 生活 和 工作 已 经 日 趋 计 算 机 化 了 ; 另 一 方面 , 计 
算 机 安全 ,尤其 是 网 络 安全 也 成 了 人 们 研究 的 课题 。 计 算 机 犯罪 作为 一 种 更 为 隐蔽 的 犯 
罪 手 段 给 社会 带 来 了 很 大 危害 ,试想 有 人 通过 网 络 人 侵 到 公司 的 一 台 计 算 机 上 , 偷 走 了 用 
户 机 密 商 业 文 件 并 卖 给 了 竞争 对 手 ,后 果 不 堪 设想 。 当 然 , 这 只 是 一 个 简单 的 例子 ,计算 
机 安全 远 远 不 止 这 个 。 

“网 络 就 是 计算 机 ”, 由 此 可 见 网 络 在 计算 机 领域 的 重要 地 位 。 随 着 局 域 网 技术 不 断 
走向 成 熟 ,网 速 在 不 断 地 提高 ,从 10Mb/s 以 太 网 ,100Mb/s 以 太 网 ,1000Mb/s 以 太 网 ， 
再 到 今天 10Gb/s 以 太 网 。 与 性 能 不 断 提 高 相反 , 建 网 的 价格 却 在 不 断 下 降 。 于 是 ,大 家 
纷纷 组 建 自己 的 局 域 网 ,把 自己 的 局 域 网 连 到 了 Internet 上 。 

在 软件 方面 ,Unix 系统 早 在 20 世纪 80 年 代 就 包含 了 TCP/IP 系统 ,并 获得 了 巨大 
的 成 功 , Microsoft 公司 把 网 络 功能 也 岩 入 了 Windows 操作 系统 ,使 Windows NT 和 
Windows XP, 以 及 Windows Vista 真正 成 为 一 种 网 络 操作 系统 。 

Internet 一 方面 给 和 人们 带 来 了 经 济 上 的 实惠 、 通 信 上 的 便捷 ,但 另 一 方面 黑客 和 病毒 
的 侵袭 ,又 把 人 们 置 于 了 进退 两 难 的 境地 。 为 了 安全 ,有 的 干脆 断 开 与 Internet 的 连接 。 
为 了 在 保护 自身 网 络 同时 又 可 以 享受 Internet 带 来 的 服务 ,人 们 设计 了 防火 墙 。 它 可 以 
起 到 卫士 的 作用 ,守护 着 内 部 网 络 通 向 Internet 的 大 门 。 

WW Internet 的 安全 问题 成 了 关注 的 焦点 。 对 安全 问题 的 忧虑 ,给 认为 Internet 已 
经 完全 胜任 商务 活动 的 过 高 期 望 泼 了 一 盆 冷 水 ,可 能 也 延缓 或 阻碍 了 Internet 作为 国家 
信息 基础 设施 或 全 球 信 息 基 础 设施 成 为 大 众 媒体 。 一 些 调查 研究 表明 许多 个 人 和 企业 之 
所 以 对 加 入 Internet 持 观 望 态度 ,其 主要 原因 就 是 出 于 安全 的 考虑 。 与 此 同时 也 有 分 析 
家 警告 商家 ,不 加 入 Internet 会 有 什么 危害 。 尽 管 众 说 纷 绒 ,但 有 一 点 几乎 是 大 家 都 赞同 
的 , 那 就 是 Internet 需要 更 多 更 好 的 安全 机 制 。 


1.2.4 关于 安全 的 权衡 


安全 ,就 是 确保 不 发 生 有 危害 的 事情 。 但 实际 上 对 于 安全 的 含义 ,有 非常 复杂 的 解 
释 , 对 这 些 解 释 进行 剖析 ,有 助 于 理解 安全 的 真正 含义 。 

通常 情况 下 , 某 些 传统 和 经 验 的 方法 比较 适用 于 安全 这 个 概念 。 首 先 , 安 全 总 是 和 效 
率 有 关 。 要 想 避 免 不 安 全 的 情况 出 现 ,最 好 就 是 什么 事 都 不 做 。 打 个 比方 ,存放 在 车 库 里 
的 车 不 可 能 发 生 交 通 事故 。 但 是 ,汽车 不 跑 路 并 不 是 我 们 的 目的 。 我 们 真正 的 目的 是 保 
障 有 利 的 事情 发 生 , 而 避免 有 危害 的 事情 。 

其 次 ,安全 与 危险 是 共存 的 。 例 如 ,前 门 加 锁 的 有 效 性 很 大 程度 上 取决 于 所 要 防卫 的 
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窃贼 类 型 。 对 于 小 贼 ,有 一 定 的 防卫 意义 ,而 对 工具 齐全 、 熟 于 此 道 的 老 贼 则 没有 什么 意 
义 。 类 似 地 ,在 网 络 上 防止 普通 的 不 安全 事件 发 生 , 采 用 一 般 的 安全 技术 就 可 以 了 ,但 是 
要 防止 蓄意 的 敌对 方 ,就 不 是 一 件 容易 的 事情 。 

第 三 ,必须 从 整个 系统 的 角度 去 考虑 安全 问题 。 系 统 的 安全 程度 由 系统 的 最 薄弱 环 
节 决 定 。 也 就 是 说 ,只 保证 前 门 安全 是 不 够 的 , 狭 独 的 小 偷 会 从 所 有 可 能 疏 于 防备 的 地 方 
潜入 房子 ,尤其 是 远离 装 有 牢固 的 锁 的 那些 地 方 。 类 似 地 ,在 网 络 中 的 安全 问题 是 一 个 全 
方位 的 问题 ,而 不 仅仅 是 某 项 单一 的 技术 。 

第 四 ,实施 安全 的 措施 必须 尽 可 能 简单 。 试 想 , 如 果 每 次 进门 都 需要 花 30 分 钟 的 艰 
辛 去 打开 一 个 复杂 的 锁 , 可 能 谁 也 许 不 愿意 锁 门 。 正 如 专家 所 说 , 越 复杂 的 系统 就 容易 出 
错 。 使 安全 系统 既 简 单 又 可 靠 是 安全 措施 的 宗旨 。 

第 五 ,安全 的 实现 必须 注意 性 能 价格 比 。 例 如 ,如 果 加 锁 的 费用 比 所 防护 的 内 容 的 
价值 还 昂贵 , 那 将 是 毫 无 意义 的 。 由 于 每 个 人 对 价值 的 认定 是 不 同 的 ,事情 就 变 得 很 


复杂 。 


1.3 网络 中 的 协议 


1.3.1 基本 概念 


在 网 络 中 ,除了 网 络 操作 系统 外 ,最 重要 的 就 是 各 种 各 样 的 网 络 协议 。 

网 络 能 有 序 、 安 全 运行 的 一 个 很 重要 原因 就 是 它 遵循 一 定 的 规范 ,也 就 是 说 ,信息 在 
网 络 中 的 传递 同人 在 街 上 行走 一 样 ,也 要 用 规则 来 约束 和 规范 。 网 络 里 的 这 个 规则 就 是 
通讯 协议 。 换 名 话说 ,通讯 协议 是 网 络 社会 中 信息 在 网 络 的 计算 机 之 间 、 网 络 设 备 之 间 及 
其 相互 之 间 “ 通 行 ” 的 交通 规则 。 

在 不 同类 型 的 网 络 中 ,应 用 的 网 络 通讯 协议 也 是 不 一 样 的 。 虽然 这 些 协议 各 不 相同 ， 
各 有 优 缺 点 ,但 是 所 有 协议 的 基本 功能 或 者 目的 都 是 一 样 的 , 即 保证 网 络 上 信息 能 畅通 无 
阻 、 准 确 无 误 地 被 传输 到 目的 地 。 

通讯 协议 也 规定 信息 交流 的 方式 ,信息 在 哪 条 通道 间 交 流 , 什 么 时 间 交 流 ,交流 什么 
信息 ,信息 怎样 交流 ,这 就 是 网 络 中 通讯 协议 的 几 个 基本 内 容 。 

在 网 络 中 , 甲 把 文件 x 传送 到 乙 的 过 程 如 下 : 

(1) 传送 软件 执行 “命令 ”, 向 操作 系统 申请 网 络 服务 。 

(2) 操作 系统 通过 网 络 模块 来 为 传送 软件 提供 服务 。 

(3) 网 络 模块 通过 网 卡 的 服务 来 为 操作 系统 服务 。 

(4) 最 终 通过 一 系列 由 应 用 软件 一 操作 系统 一 网 络 模块 一 网 卡 硬 件 的 互相 配合 完 
文件 传送 操作 。 

协议 由 语义 、 语 法 和 时 序 三 部 分 组 成 。 语 义 规定 通信 双方 彼此 “ 讲 什 么 "(含义 ) ,语法 
规定 “如 何 讲 ”( 格 式 ) ,时 序 关 系 则 规定 了 信息 交流 的 次 序 ( 顺 序 )。 

理论 上 ,只 要 有 一 套 协议 即 可 .但 由 于 网 络 技术 在 不 断 发 展 ,应 用 领域 在 不 断 拓宽 ,加 
上 历史 的 原因 (20 世纪 70 年 代 各 大 计算 机 公司 在 网 络 领域 “诸侯 割据 ”, 纷 纷 推出 自己 的 
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网 络 通信 协议 , 既 为 网 络 技术 的 发 展 作出 了 贡献 ,也 造成 协议 品种 杂 、 多 的 局 面 ) ,所 以 , 目 
前 尚 无 一 套 统 一 可 用 的 网 络 协议 。 

正如 理论 上 人 类 只 要 一 种 语言 就 可 以 相互 沟通 ,但 实际 上 却 有 许 许 多 多 的 语言 存在 。 

可 以 将 人 与 人 的 “通信 ”分 为 3 个 相关 的 层次 : 认识 层 . 语 言 层 .传输 层 。 请 看 下 面 的 
例子 。 

例 1 让 一 成 都 老 姬 与 北京 科学 家 进行 如 下 的 “通信 ”: 


R H ER 北京 科学 家 结 果 用 网 络 术 语 表 达 结 果 
谈论 内 容 成 都 城内 菜 价 网 络 技术 不 可 理喻 认识 层 * 协 议 ” 不 兼容 
所 用 语言 成 都 方言 英语 不 知 所 云 Tri Jas" DIL” AN AEE 
通信 方式 电话 计算 机 无 法 联通 传输 层 “ 协 议 ” 不 兼容 


例 2 让 一 成 都 老 并 与 北京 的 成 都 籍 科学 家 进行 如 下 的 “通信 ”: 


R HB E iK 成 都 籍 科 学 家 结 果 用 网 络 术语 表达 结果 
谈论 内 容 成 都 城市 变化 家 乡情 况 v 认识 层 “ 协 议 " 兼 容 
所 用 语言 成 都 方言 成 都 方言 v HJA“ DAEA 
通信 方式 电话 电话 v 18 Sit JA N AR AE 


所 以 ,人 们 为 了 能 够 彼此 交流 思想 ,首先 需 借助 一 种 分 层次 的 通信 结构 ; 其 次 ,层次 
之 间 不 是 相互 孤立 的 ,而 是 密切 相关 的 ,上 层 的 功能 是 建立 在 下 层 的 基础 上 ,下 层 为 上 层 
提供 某 些 服务 ,而 且 每 层 还 应 有 相应 的 协议 规则 。 

网 络 通信 情况 同样 如 此 ,只 是 区 分 更 细 一 些 。 

计算 机 网 络 理论 把 这 整个 过 程 定 义 成 一 个 分 层 服务 体系 。 在 国际 标准 组 织 CISO) 的 
著名 标准 开放 式 系统 互 连 参考 模型 (OSD) 里 ,这 个 复杂 的 体系 依次 有 应 用 层 、 表 示 层 、 会 
话 层 、 传 输 层 、 网 络 层 ,数据 链 路 层 ,物理 层 , 称 为 ISO 七 层 模型 ,参见 表 1-1。 


表 1-1 ISO 七 层 模型 
网 络 的 用 户 接口 (如 上 网 软件 等 ) 


应 用 层 


表示 层 不 同系 统 数 据 格式 转换 (如 加 解密 ) 

会 话 层 进程 (执行 中 的 程序 ) 间 会 话 管理 与 会 话 同 步 (“ 会 话 " 即 用 户 间 连接 ) 
传输 层 报 文 的 正确 传输 ( 报 文 的 生成 、 收 发、 组合 与 差错 检查 ) 

网 络 层 路 由 选择 和 流量 控制 (选择 LAN 间 传 输 路 径 ) 

数据 链 路 层 帧 的 正确 传输 ( 帧 的 生成 、 收 发 与 差错 检查 


物理 层 数据 比特 流 (0、1) 的 正确 传输 (比特 流 的 生成 .收发 与 差错 检查 ) 


加 入 分 层 的 概念 ,是 为 了 将 整个 体系 的 不 同 组 成 部 分 更 好 地 按 不 同 功能 级 别 来 划分 
同时 在 层次 中 引入 了 服务 .接口 和 协议 这 3 个 概念 .服务 说 明 某 层 为 上 一 层 提 供 什么 功 
能 ,接口 说 明 上 层 如 何 使 用 下 一 层 的 服务 .而 协议 定义 如 何 实现 本 层 的 服务 。 

实际 使 用 中 ,协议 并 非 严 格 按照 这 七 层 来 定义 ,因为 OSI 七 层 参考 模型 是 一 个 理论 
模型 ,实际 应 用 则 千变万化 ,因此 更 多 把 它 作 为 分 析 、 评 判 各 种 网 络 技 术 的 依据 ; 对 大 多 
数 应 用 来 说 ,只 将 它 的 协议 族 ( 即 协议 堆栈 ) 与 七 层 模 型 作 大 致 的 对 应 ,看 看 实际 用 到 的 特 
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定 协议 是 属于 七 层 中 的 某 个 子 层 ,还 是 包括 了 上 下 多 层 的 功能 , 见 表 1-2。 
表 1-2 TCP/IP 协议 族 与 七 层 模 型 的 对 应 关系 


OSI 七 层 模型 TCP/IP 协议 族 

应 用 层 

表示 层 应 用 层 (HTTP、FTP TELNET 等 ) 
会 话 层 

传输 层 传输 层 (TCP/UDP) 

网 络 层 网 络 层 (IP) 

数据 链 路 层 ; 

4 < O Ja 
物理 层 网 络 接口 层 


TCP/IP 的 多 数 应 用 协议 将 OST 应 用 层 、. 表 示 层 、 会 话 层 的 功能 合 在 一 起 ,组 成 应 用 
层 , 典 型 协议 有 HTTP、FTP TELNET 等 ; TCP/UDP 协议 对 应 OSI 的 传输 层 ,提供 上 
层 数据 传输 保障 ; IP 协议 对 应 OSI 的 网 络 层 ; TCP/IP 的 最 底层 功能 由 网 络 接口 层 实 
现 , 相 当 于 OSI 的 数据 链 路 层 和 物理 层 ,TCP/IP 应 用 已 有 的 底层 网 络 实现 传输 ,对 该 层 
并 未 作 严 格 定义 。 

数据 从 上 层 往 下 层 传送 ,往往 要 封装 附加 的 信息 (如 目的 地 址 、 错 误 检测 码 等 ); 数据 
从 下 层 往 上 层 传送 , 则 需 在 对 应 层 相应 去 除 所 封装 附加 的 信息 (还 原 )。 

封装 是 指 信息 通过 各 层 向 下 传递 时 ,每 层 的 软件 负责 加 上 它 的 报头 Cheader) 或 报 尾 
(trailer) 信 息 ( 每 层 都 要 封装 从 高 层 来 的 信息 ), 见 图 1-11。 


RS 长 H 数 据 [-- -十 应 用 层 

示 层 [----------- PH] 数据 ----- 表示 层 

N sH| am }---_ aise 

传输 层 上 上 ------ th] 数据 上---] 传输 层 

W H---- NH 数据 | --- 才 网 络 层 
AURRERA j- [DH 数据 DT} -| 数据 链 路 层 

物理 层 比特 流 物理 层 


图 1-11 数据 的 封装 


1.3.2 网 络 协议 的 定义 


协议 就 是 两 个 或 者 两 个 以 上 的 参与 者 ,为 完成 特定 的 任务 而 约定 采取 的 一 系列 步骤 。 
这 个 定义 包含 三 层 含 义 : 

(1) 协议 自始至终 是 有 序 的 过 程 ,每 一 个 步骤 必须 执行 ,在 前 一 步 没 有 执行 完 之 前 ， 
后 面 的 步骤 不 可 能 执行 。 

(2) 协议 至 少 需 要 两 个 (或 两 个 以 上 ) 参 与 者 。 

(3) 通过 协议 必须 能 够 完成 某 项 任务 。 

综 上 所 述 ,协议 是 一 系列 步骤 ,包括 两 方 或 多 方 , 设 计 它 的 目的 是 要 完成 一 项 任务 。 

“一 系列 步骤 "意味 着 协议 实现 是 从 开始 到 结束 的 一 个 序列 ,每 一 步 必须 依次 执行 ,在 前 一 


第 1 章 基本 概念 13 


步 完 成 前 ,后 面 的 步骤 都 不 能 执行 ;“ 包 括 两 方 或 多 方 ”意味 着 完成 这 个 协议 至 少 需 要 两 
个 人 ,单独 的 一 个 人 不 能 完成 协议 ,当然 单独 的 一 个 人 也 可 采取 一 系列 步骤 去 完成 一 个 任 
务 ( 例 如 烤 和 蛋糕) ,但 这 不 是 完成 协议 (另外 一 些 人 必须 吃 蛋 糕 才 完成 协议 ); 最 后 “设计 
它 的 目的 是 要 完成 一 项 任务 ”意味 着 协议 必须 做 一 些 事 。 有 些 东西 看 起 来 像 协议 ,但 不 是 
完成 一 个 任务 , 那 也 不 是 协议 。 

协议 还 有 其 他 一 些 特点 。 

(1) 预先 建立 : 协议 执行 中 的 每 一 方 都 必须 了 解 协 议 , 并 且 预 先知 道 所 要 完成 的 所 
有 步骤 。 

(2) 相互 同意 : 协议 中 的 每 一 方 都 必须 同意 遵循 它 。 

G) 非 二 义 性 : 协议 必须 是 不 模糊 的 ,每 一 步 必须 明确 定义 ,并 且 不 会 引起 误解 。 

(4) 完整 性 : 协议 必须 是 完整 的 ,对 每 种 可 能 的 情况 必须 规定 具体 动作 。 

总 之 ,协议 是 一 系列 的 步骤 ,按照 规定 的 步骤 线性 执行 ,除非 指定 它 转 到 其 他 步 
又 。 每 一 步 至 少 要 做 下 列 两 件 事 中 的 一 件 , 即 由 一 方 或 多 方 计 算 ,或 者 是 在 各 方 中 传 
送信 息 。 

安全 协议 是 使 用 安全 技术 (包括 密码 技术 ) 的 协议 ,协议 的 参与 者 可 能 是 相互 信任 的 
人 ,也 可 能 是 完全 不 信任 的 人 。 安 全 协议 使 网 络 环境 下 相互 不 信任 的 通信 参与 方 能 够 相 
互 配 合 ,通过 安全 连接 和 安全 机 制 的 实现 来 保证 通信 过 程 的 安全 性 、 可 靠 性 和 公平 性 。 本 
书 所 指 的 安全 协议 特 指 使 用 密码 学 技术 来 完成 某 种 安全 功能 的 协议 。 

密码 协议 是 使 用 密码 学 的 协议 。 参 与 该 协议 的 伙伴 可 能 是 朋友 和 完全 信任 的 人 ， 
或 者 也 可 能 是 敌人 和 完全 不 信任 的 人 。 密 码 协议 包含 某 种 密码 算法 ,但 通常 情况 下 ， 
协议 不 仅仅 是 为 了 简单 的 秘密 。 参 与 协议 的 各 方 可 能 为 了 计算 一 个 数值 想 共 享 它们 的 
秘密 部 分 、 共 同 产生 随机 序列 .确定 相互 的 身份 或 者 同时 签署 合同 。 在 协议 中 ,使 用 密码 
的 目的 是 防止 或 发 现 偷 听 者 和 欺骗 者 ,相互 之 间 不 信任 的 各 方 也 能 够 在 网 络 上 完成 这 些 
协议 。 

后 续 几 童 将 讨论 许多 安全 协议 。 在 其 中 的 一 些 协议 中 ,参与 者 中 的 一 个 有 可 能 欺骗 
其 他 人 , 偷 听 者 也 可 能 暗中 破坏 协议 或 获悉 秘密 信息 。 一 些 协议 之 所 以 失败 ,是 因为 设计 
者 对 需求 不 是 定义 得 很 完备 ; 其 他 一 些 失 败 是 因为 协议 的 设计 者 分 析 得 不 够 充分 。 与 密 
码 算法 类 似 , 证 明 协 议 的 不 安全 比 证 明 协 议 安全 更 容易 。 


1.3.3 协议 的 目的 


在 日 常生 活 中 ,几乎 所 有 的 事情 都 有 非 正 式 的 协议 : 电话 订货 、 玩 扑克 、 选 举 投票 。 
但 是 几乎 没有 人 认真 考虑 过 这 些 协 议 , 这 些 协议 随 着 时 间 的 推移 而 发 展 , 人 们 都 知道 怎样 
使 用 它们 ,而 且 也 很 有 效 。 

越 来 越 多 的 人 通过 网 络 交 流 , 代 蔡 面 对 面 的 交流 。 计 算 机 需要 正式 协议 来 完成 人 
们 不 用 考虑 就 能 做 的 事情 。 如 果 从 一 个 地 方 迁 移 到 另 一 个 地 方 ,可 能 会 发 现 玩 扑 克 的 
方法 与 以 前 的 方法 有 所 不 同 , 人 们 一 般 很 容易 就 能 适应 它 , 但 换 成 计算 机 就 不 那么 灵 
wT. 

许多 面对面 的 协议 依靠 人 的 现场 存在 来 保证 公平 和 安全 。 举 例 来 说 ,生活 中 有 人 会 
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交 给 陌生 人 一 到 现金 去 替 自 己 买 食品 吗 ? 如 果 一 个 人 没有 看 到 另 一 个 人 洗 牌 和 发 牌 ,这 
个 人 愿意 和 那个 人 玩 扑 克 吗 ? 

那 种 假设 使 用 网 络 的 人 都 是 诚实 的 想法 是 不 切实 际 的 。 类 似 的 不 切实 际 的 想法 还 有 
网 络 的 管理 员 是 诚实 的 ,网 络 的 设计 者 是 诚实 的 等 。 

虽然 绝 大 多 数 人 是 诚实 的 ,但 是 不 诚实 的 少数 人 可 能 招致 很 多 和 危害。 通过 规定 协议 ， 
可 以 查 出 不 诚实 的 人 企图 欺骗 的 把 戏 , 还 可 开发 挫败 这 些 欺 骗 者 的 协议 。 正 如 古人 所 说 
的 :“ 害 人 之 心 不 可 有 , 防 人 之 心 不 可 无 。” 

除了 规定 协议 的 行为 外 ,协议 还 根据 完成 某 一 任务 的 机 理 , 抽 象 出 完成 此 任务 的 过 
程 。 例 如 ,不 管 是 IBM PC 还 是 工作 站 机 或 者 传真 机 ,通信 协议 是 相同 的 。 我 们 考查 协 
议 ,而 不 用 局 限于 具体 的 实现 上 。 当 拥有 一 个 好 的 协议 时 ,从 计算 机 到 电话 再 到 智能 烘箱 
的 所 有 事情 都 能 够 实现 。 


1.3.4 协议 中 的 角色 
在 后 续 各 章 中 ,如 果 没 有 特殊 说 明 ,将 采用 表 1-3 所 列 的 符号 来 帮助 说 明 协 议 。A 和 
B 是 开始 的 两 个 人 ,他 们 将 完成 所 有 的 两 人 协议 。 按 规定 ,由 A 发 起 协议 ,B 进行 响应 。 
如 果 协 议 需 要 第 三 或 第 四 人 ,C 和 DD 将 扮演 这 些 角色 。 由 其 他 人 扮演 的 专门 配角 ,将 在 
后 面 介 绍 。 
表 1-3 协议 参与 者 的 表示 
所 有 协议 中 的 第 一 个 参加 者 M 恶意 的 主动 攻击 者 


A 

B 所 有 协议 中 的 第 二 个 参加 者 里 值得 信赖 的 仲裁 者 

C 在 三 方 协议 中 的 参加 者 w 监察 人 : 在 某 些 协议 中 保护 A FI B 
D 在 四 方 协议 中 的 参加 者 P 证 明 人 

E 窃听 者 V 验证 人 


1.3.5 协议 的 分 类 


一 般 地 ,根据 协议 的 执行 过 程 , 可 以 将 它 分 为 3 类 : 仲裁 协议 .裁决 协议 .自动 执行 协 
议 , 见 图 1-12。 
T A Bis aT 
ge Se ， a A 3 
(a) 仲裁 协议 (b) 裁决 协议 (c) 自动 执行 协议 
图 1-12 协议 类 型 


A 


在 网 络 中 ,按照 协议 完成 的 安全 功能 ,可 以 分 为 3 类: 密 钥 交 换 协 议 、 认 证 协议 、 认 证 
和 密 钥 交换 协议 。 这 些 安全 协议 将 在 第 3 章 中 讲述 。 本 章 的 目的 是 建立 安全 协议 的 基本 


1. 仲裁 协议 


仲裁 协议 是 在 协议 的 执行 过 程 中 有 仲裁 者 参与 的 协议 , 见 图 1-12(a)。 仲 裁 者 是 在 完 
成 协议 的 过 程 中 ,值得 信任 的 、 公 正 的 第 三 方 。 

“公正 ”意味 着 仲裁 者 在 协议 中 没有 既得 利益 ,对 参与 协议 的 任何 人 也 没有 特别 的 利 
害 关 系 。“ 值 得 信任 ”表示 协议 中 的 所 有 人 都 接受 这 一 事实 , 即 仲裁 者 说 的 都 是 真实 的 ,做 
的 都 是 正确 的 ,并 且 将 完成 协议 中 涉及 自己 的 部 分 。 仲 裁 者 可 以 帮助 互 不 信任 的 双方 完 
成 协议 。 

在 现实 社会 中 ,律师 经 常 作为 仲裁 者 。 举 一 个 例子 ,A 要 卖 汽 车 给 不 认识 的 B。B 想 
用 支票 付 账 ,但 A 不 知道 支票 的 真 假 。 在 A 将 车 子 转 给 B 前 ,她 必须 查 清 支 票 的 真 伪 。 
同样 ,B 也 并 不 相信 A ,就 像 A 不 相信 B 一 样 ,在 没有 获得 所 有 权 前 ,也 不 愿 将 支票 交 
与 A。 

这 时 就 需要 双方 都 信任 的 律师 。 在 律师 的 帮助 下 ,A 和 B 可 以 用 下 面 的 协议 保证 互 
不 欺骗 。 

(1) A 将 车 的 所 有 权 交 给 律师 。 

(2) B 将 支票 交 给 A. 

(3) A 在 银行 兑现 支票 。 

(4) 在 等 到 支票 认证 无 误 能 够 兑现 之 后 ,律师 将 车 的 所 有 权 交 给 B。 如 果 在 规定 的 
时 间 内 支票 不 能 兑现 ,A 将 证 据 出 示 给 律师 ,律师 将 车 的 所 有 权 和 钥匙 交还 给 A。 

在 这 个 协议 中 ,A 相信 律师 不 会 将 车 的 所 有 权 交 给 B, 除 非 支 票 已 经 兑现 ; 如 果 支 票 
不 能 兑现 ,律师 会 把 车 的 所 有 权 交 还 给 A。 而 B 相信 律师 有 车 的 所 有 权 , 在 支票 兑现 后 ， 
将 会 把 车 主权 和 钥匙 交 给 他 。 而 律师 并 不 关心 支票 是 否 兑 现 , 不 管 在 什么 情况 下 ,他 只 做 
那些 他 应 该 做 的 事 , 因 为 不 管 在 哪 种 情况 下 .他 都 有 报酬 。 

在 这 个 例子 中 ,律师 起 着 担保 代理 作用 。 

如 果 银 行 也 使 用 仲裁 协议 ,B 就 可 以 用 保 付 支票 从 A 手中 购买 汽车 : 

(1) B 开 一 张 支票 并 交 到 银行 。 

(2) 在 验 明 B 在 银行 存 的 钱 足 以 支付 支票 上 的 数目 后 ,银行 将 保 付 支票 交 与 B。 

(3) A 将 车 的 所 有 权 交 给 B,B 将 保 付 支票 交 给 A. 

(4) A 到 银行 兑现 支票 。 

这 个 协议 也 是 可 行 和 有 效 的 .因为 A 相信 和 银行 的 证 明 。A 相信 和 银行 会 将 保存 的 也 的 
钱 给 她 ,不 会 将 她 的 钱 用 于 其 他 业务 。 

公证 人 是 另 一 种 仲裁 人 。 当 也 从 A 收 到 已 公证 的 文件 时 ,他 相信 A 签署 的 文件 是 她 
CA) 自己 亲自 签署 的 。 因 为 如 果 有 必要 ,公证 人 可 出 庭 证 实 这 个 事实 。 

仲裁 人 的 概念 与 人 类 社会 一 样 悠久 。 总 是 有 那么 一 些 人 一 一 统治 者 .牧师 等 ,他 们 有 
公平 处 理事 情 的 权威 。 在 现实 社会 中 ,仲裁 者 总 是 有 一 定 社会 地 位 和 声望 的 人 ,而 背叛 公 
众 的 信任 是 很 危险 的 事情 。 例 如 . 视 担保 为 儿戏 的 律师 肯定 会 被 开除 出 律师 界 。 虽 然 现 
实 世 界 里 并 不 总 是 如 此 美好 ,但 这 种 方式 确实 是 理想 的 。 

这 种 思想 可 以 转化 到 计算 机 世界 中 ,但 计算 机 仲裁 者 有 下 面 几 个 问题 : 
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(1) 如 果 在 知道 对 方 是 谁 ,并 能 见 到 对 方 的 情况 下 ,就 很 容易 找到 和 相信 中 立 的 第 三 
方 。 互 相 怀 疑 的 双方 很 可 能 也 会 不 信任 在 网 络 别 的 地 方 并 不 露面 的 仲裁 者 。 

(2) 网 络 必须 负担 仲裁 者 的 费用 ,就 像 我 们 知道 的 律师 费用 。 谁 来 负担 这 种 网 络 费 
用 呢 ? 

(3) 在 任何 仲裁 协议 中 都 有 延迟 的 特性 。 

(4) 仲裁 者 必须 处 理 每 一 笔 交 易 。 任 何 一 个 协议 在 大 范围 执行 时 ,仲裁 者 是 潜在 的 
“瓶颈 ”。 增 加 仲裁 者 的 数目 能 缓解 这 个 问题 ,但 费用 将 会 增加 。 

(5) 由 于 在 网 络 中 每 个 人 都 必须 相信 仲裁 者 ,对 试图 破坏 网 络 的 人 来 说 ,仲裁 者 便 是 
一 个 易 受 攻击 的 弱点 。 

尽管 如 此 ,仲裁 者 仍 继续 扮演 其 角色 。 在 使 用 可 信任 的 仲裁 协议 中 ,这 个 角色 将 由 工 
来 扮演 。 


2. 裁决 协议 


由 于 雇用 仲裁 者 代价 高 昂 ,仲裁 协议 (参见 图 1-12(b)) 可 以 分 成 两 个 低级 的 子 协议 : 
一 个 是 非 仲 裁 子 协议 ,这 个 子 协议 是 想 要 完成 协议 的 各 方 每 次 都 必须 执行 的 ; 另 一 个 是 
仲裁 子 协 议 , 仅 在 例外 的 情况 下 才 执 行 , 即 有 争议 的 时 候 才 执行 ,这 种 特殊 的 仲裁 者 叫做 
裁决 人 。 

裁决 人 也 是 公正 的 和 可 信 的 第 三 方 。 裁 决 人 不 像 仲裁 者 ,并 不 直接 参与 每 一 个 协议 ， 
只 有 需要 确定 协议 是 否 被 公平 地 执行 时 才 将 其 请 来 。 

法 官 是 职业 的 裁决 者 。 法 官 不 像 公 证 人 ,仅仅 在 有 争议 时 才 需 要 法 官 出 场 ,A 和 B 
可 以 在 没有 法 官 的 情况 下 订立 合同 。 除 非 他 们 中 有 一 个 人 把 另 一 人 拖 到 法 院 , 和 否则 法 官 
绝 不 会 看 到 合同 。 

合同 签字 协议 可 以 归纳 为 以 下 形式 。 

非 仲裁 子 协 议 ( 每 次 都 执行 ) : 

(1) A 和 也 谈判 合同 的 条 款 。 

(2) A 签署 合同 。 

(3) B 签署 合同 。 

裁决 子 协 议 ( 仅 在 有 争议 时 执行 ) : 

(1) A 和 B 出 现在 法 官 面 前 。 

(2) A 提出 她 的 证 据 。 

(3) B 也 提出 他 的 证 据 。 

(4) 法 官 根据 证 据 裁决 。 

裁决 者 和 仲裁 之 间 的 不 同 是 裁决 者 (在 这 本 书 中 用 的 ) 并 不 总 是 必需 的 。 如 果 有 争 
I ,法 官 被 请 来 裁决 ; 如 果 没 有 争议 ,就 没有 必要 请 法 官 。 

已 有 计算 机 裁决 协议 。 这 些 协议 依赖 于 与 协议 有 关 的 各 方 都 是 诚实 的 ; 如 果 有 人 怀 
疑 出 现 欺骗 时 ,一 个 中 立 的 第 三 方 能 够 根据 存在 的 数据 正文 文本 判断 是 否 有 人 在 欺骗 。 
在 好 的 裁决 协议 中 ,裁决 者 还 能 确定 欺骗 人 的 身份 。 裁 决 协 议 是 为 了 发 现 欺骗 ,而 不 是 为 
了 阻止 欺骗 。 发 现 欺骗 是 起 了 防止 和 阻碍 欺骗 的 作用 。 


3. 自动 执行 协议 


自动 执行 协议 是 协议 中 最 完善 的 。 协 议 本 身 就 保证 了 公平 性 (参见 图 1-12(c))。 不 
需要 仲裁 者 来 完成 协议 ,也 不 需要 裁决 者 来 解决 争端 。 协 议 的 构成 本 身 不 可 能 发 生 争端 。 
如 果 协 议 中 的 一 方 试图 欺骗 ,其 他 各 方 马上 就 能 发 觉 并 且 停止 执行 协议 。 无 论 欺 骗 方 想 
通过 欺骗 来 得 到 什么 ,他 都 不 能 如 愿 以 偿 。 

最 好 是 让 每 个 协议 都 能 自动 执行 。 但 是 ,实际 上 没有 一 个 协议 是 自动 执行 的 。 


1.4 网络 协议 面临 的 威胁 


密码 攻击 可 以 直接 攻击 协议 中 所 用 的 密码 算法 、 用 来 实现 该 算法 和 协议 的 密码 技术 
或 者 攻击 协议 本 身 。 本 节 仅 讨论 协议 ,并 假定 密码 算法 和 密码 技术 是 安全 的 ,只 关注 对 协 
议 本 身 的 攻击 。 

可 以 采用 各 种 方法 对 协议 进行 攻击 。 与 协议 无 关 的 人 偷 听 协 议 的 一 部 分 或 全 部 ,这 
叫做 被 动 攻 击 。 因 为 攻击 者 不 可 能 影响 协议 ,所 有 能 做 的 就 是 观察 协议 并 试图 获取 信息 。 
这 种 攻击 相当 于 密码 学 中 的 唯 密 文 攻击 。 由 于 被 动 攻 击 难 于 发 现 ,因此 协议 应 阻止 被 动 
攻击 而 不 是 发 现 这 种 攻击 。 在 这 种 协议 中 , 偷 听 者 的 角色 将 由 下 扮演 。 

另 一 种 攻击 是 改变 协议 以 便 对 自己 有 利 。 攻 击 者 可 能 假装 是 其 他 一 些 人 ,在 协议 中 
引入 新 的 信息 ; 或 删 掉 原 有 的 信息 ,用 另外 的 信息 代替 原来 的 信息 ; 或 重 放 旧 的 信息 ; 或 
破坏 通信 信道 ; 或 者 改变 存储 在 计算 机 中 的 信息 等 。 这 些 叫做 主动 攻击 ,他 们 具有 主动 
的 干预 行为 。 这 种 形式 的 攻击 依赖 于 网 络 。 

被 动 攻击 试图 获取 协议 中 各 方 的 信息 。 他 们 收集 协议 各 方 所 传送 的 信息 ,并 对 它们 
进行 分 析 。 而 主动 攻击 有 更 多 的 目的 。 攻 击 者 可 能 对 获取 信息 感 兴趣 ,也 可 能 希望 降低 
系统 性 能 ,破坏 已 有 的 信息 ,或 者 获得 非 授 权 的 资源 存 取 。 

相 比 之 下 ,主动 攻击 更 为 严重 ,特别 是 在 那些 各 方 都 不 能 信任 的 协议 中 。 而 攻击 者 不 
一 定 都 是 入 侵 者 ,可 能 是 合法 的 系统 用 户 , 也 可 能 是 系统 管理 员 。 甚 至 有 很 多 主动 攻击 
者 ,他 们 在 一 起 工作 ,每 人 都 是 合法 的 系统 用 户 。 这 种 恶意 的 主动 攻击 者 的 角色 将 由 M 
扮演 。 

攻击 者 也 可 能 是 与 协议 有 关 的 各 方 中 的 一 方 。 他 可 能 在 协议 期 间 撒 谎 ,或 者 根本 不 
遵守 协议 ,这 类 攻击 者 叫做 骗子 。 被 动 骗子 遵守 协议 ,但 试图 获取 协议 外 的 其 他 信息 ; 主 
动 骗子 在 协议 的 执行 中 试图 通过 欺骗 来 破坏 协议 。 

如 果 与 协议 有 关 的 各 方 中 的 大 多 数 是 主动 骗子 ,就 很 难保 持 协议 的 安全 性 。 但 合法 
用 户 发 觉 是 否 有 主动 欺骗 却 是 可 能 的 。 当 然 , 协 议 对 被 动 欺骗 来 说 应 该 是 安全 的 。 

为 了 应 对 协议 的 威胁 ,必须 设计 安全 的 协议 。 

对 于 安全 协议 的 定义 : 安全 协议 是 建立 在 密码 体制 基础 上 的 一 种 通信 协议 ,计算 机 
网 络 或 分 布 式 系统 中 的 参与 者 通过 安全 协议 ,借助 于 密码 算法 来 达到 密 钥 分 配 、 身 份 认 
证 \ 信 息 保密 以 及 安全 地 完成 电子 交易 等 目的 。 

安全 协议 是 一 种 通信 协议 , 它 的 主要 目的 是 利用 密码 技术 实现 网 络 通 信 中 的 密 钥 分 
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配 和 身份 认证 。 安 全 协议 是 网 络 通 信安 全 系统 的 基础 ,是 实现 计算 机 网 络 安全 的 关键 。 
然而 ,大 量 事实 表明 ,有 许多 安全 协议 经 过 认真 仔细 地 分 析 、 设 计 和 实现 后 仍然 存在 漏洞 
有 些 甚至 在 使 用 许多 年 后 才 被 发 现 有 漏洞 。 


1.5 本 章 重点 和 难点 


本 章 的 重点 是 建立 网 络 和 协议 的 概念 。 

本 章 采 用 下 述 路 线 建 立 网 络 的 概念 : 首先 通过 网 络 的 构成 和 分 类 ,以 及 网 络 的 发 展 
引入 网 络 的 基本 概念 ,然后 通过 介绍 网 络 安全 的 含义 不同 应 用 环境 中 的 网 络 安全 问题 、 
网 络 安全 的 重要 性 以 及 关于 网 络 安全 的 权衡 考虑 因素 ,引入 网 络 安全 的 概念 。 

在 此 基础 上 ,通过 下 述 路 线 建立 网 络 协议 的 概念 : 通过 介绍 网 络 中 的 协议 、 网 络 协议 
的 定义 、 协 议 的 目的 ,协议 中 的 角色 以 及 协议 的 分 类 ,介绍 网 络 中 的 协议 。 

最 后 介绍 网 络 协议 面临 的 威胁 。 

本 章 的 重点 是 了 解 掌握 网 络 协议 的 基本 概念 。 


习题 与 思考 题 


. 试 述 网 络 的 基本 构成 及 相互 之 间 的 联系 。 

.网络 在 不 同 标准 下 的 分 类 有 哪些 ? 

. 论述 网 络 的 发 展 。 

.论述 并 分 析 造 成 网 络 不 安全 的 主要 原因 。 

. 论述 网 络 安全 的 基本 内 容 。 

. 试 述 网 络 安全 的 重要 性 。 

. 怎样 对 安全 进行 权衡 ? 

. 试 述 密 码 学 与 协议 攻击 之 间 的 联系 。 

. 试 述 网 络 协议 的 基本 内 容 。 

10. 网 络 协议 的 目的 是 什么 ? 

11. 协议 的 基本 类 型 有 哪些 ? 

12. 描述 仲裁 协议 .裁决 协议 .自动 执行 协议 三 者 之 间 的 联系 与 区 别 。 
13. 有 哪些 协议 攻击 方式 ?协议 的 安全 性 依赖 于 哪些 因素 ? 
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本 章 的 目的 是 通过 介绍 现 有 的 网 络 及 其 协议 ,使 大 家 对 网 络 协议 及 其 安全 性 有 一 个 
感性 的 认识 。 

本 章 有 5 个 小 节 。 第 2. 1 节 首 先 对 TCP/IP 协议 进行 概括 的 介绍 , 供 那 些 尚 不 熟悉 
TCP/IP 概念 的 读者 参考 ; 第 2. 2 节 分 析 导 致 Internet 不 安全 的 原因 ; 第 2. 3 节 介 绍 在 
Internet 中 与 安全 相关 的 协议 ,讨论 在 网 络 各 层 实 施 安全 措施 的 优点 与 缺点 ; 第 2.4 节 介 
绍 网 络 层 的 安全 协议 ; 第 2.5 节 是 本 章 重 点 和 难点 分 析 。 


2.1 Internet 协议 的 基本 构架 


Internet 的 基石 是 TCP/IP 协议 ,该 协议 在 实现 上 力求 简单 高 效 。 

在 20 世纪 80 年 代 , 人 们 普遍 使 用 的 还 有 另外 一 些 网 络 协议 体系 一 一 ISO( 国 际 标准 
化 组 织 ) 的 OSI、IBM 公司 的 SNA 以 及 DEC 公司 的 DECnet 等 。 然而 ,所 有 这 些 协 议 没 
有 一 个 是 简单 的 ,也 不 像 TCP/IP 那样 是 开放 的 。 正 是 由 于 这 个 原因 ,TCP/IP 协议 才 得 
到 了 广泛 的 实施 、 开 发 和 支持 。 

所 有 网 络 协议 体系 均 包 括 下 述 基本 组 件 。 

A) 协议 堆栈 : 由 相互 间 通 信 、 高 效率 传输 数据 包 的 各 层 构 成 。 

(2) 定 址 系统 : 提供 独一无二 标识 一 个 目的 地 (目标 主机 ) 的 能 力 。 为 了 实现 大 范围 
内 的 通信 ,有 必要 将 通信 实体 唯一 地 标识 出 来 。 

(3) 路 由 : 决定 一 个 特定 数据 包 的 传送 路 径 , 令 其 最 终 抵 达 目 的 地 ,这 就 是 所 谓 的 
“路 由 选择 ”(routing)。 

2.1.1 协议 堆栈 

TCP/IP 协议 堆栈 由 如 图 2-1 所 示 的 4 个 层 构成 。 堆 栈 中 的 每 个 层 都 有 明确 定义 的 
功能 及 用 途 。 每 一 层 都 能 导出 经 准确 定义 的 接口 ,在 它 上 面 或 下 面 的 层 可 通过 该 接口 与 
之 通信 。 这 种 分 层 结构 具有 多 方面 的 优点 。 除 了 能 简化 协议 堆栈 的 设计 之 外 ,还 能 简化 
它 的 使 用 。 


设计 之 所 以 能 得 到 简化 ,是 由 于 每 个 层 都 只 与 紧 靠 在 EAE 
它 上 面 或 下 面 的 层 打交道 。 只 要 一 个 层 提供 的 服务 确定 下 (ERIE 
来 ,相应 的 接口 也 会 确定 下 来 ,所 以 每 个 层 都 可 以 独立 设 网 络 层 
计 。 之 所 以 说 它 的 使 用 得 到 简化 ,是 由 于 对 最 终 使 用 网 络 数据 链 路 层 


堆栈 的 应 用 来 说 ,完全 可 以 不 必 顾 及 高 度 复杂 的 堆栈 联网 图 2-1 TCP/IP 协议 堆栈 分 层 
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问题 。 换 言 之 ,复杂 的 技术 性 问题 对 网 络 应 用 来 说 是 “透明 ”的 。 
2.1.2 数据 流 分 析 
从 发 送 源 到 接收 目的 地 ,数据 流 如 图 2-2 所 示 。 


数据 | 应 用 | ---------------- 一 | 应 数据 
Į © ® 

TH 传送 层 /----------------- | 传送 层 TH 
' 4 @ | O 

NH 网 络 层 一---- 一 [Na +--+ 网 络 层 NH 

! 1 @ ' Of {© © to 

DH sjon] ”载荷 eaman] ava 
源 路 由 器 目的 地 

图 2-2 数据 流 


为 讨论 方便 起 见 , 首 先 假定 传送 协议 是 TCP ,而 网 络 协议 是 IP。 基 于 这 个 前 提 : 

(1) 源 主机 (起 始 主机 ) 上 的 一 个 应 用 (程序 ) 通 过 套 接 字 接 口 将 需要 传 给 目的 地 的 数 
据 传 给 传送 层 。 应 用 标定 出 希望 与 之 通信 的 那个 目的 地 。 在 这 个 "目的 地 ”中 ,同时 包括 
了 目标 主机 以 及 在 上 面 运行 的 应 用 (程序 ) 。 

(2) 传送 层 ( 这 里 是 TCP) 取 得 这 些 要 发 送出 去 的 数据 ,将 一 个 传送 头 ( 这 里 是 TCP 
头 ) 追 加 到 载荷 ,然后 将 整个 载荷 向 下 传 给 网 络 层 。TCP 头 里 的 字段 有 助 于 提供 应 用 程 
序 需 要 的 服务 。 

(3) 网 络 层 收 到 来 自传 送 层 的 载荷 。 这 个 "载荷 ”(payload) 内 同时 包含 了 数据 以 及 
TCP 头 。 它 进一步 在 载荷 外 追加 一 个 IP 头 。 然 后 ,将 载荷 连同 IP 头 向 下 传递 给 数据 链 
路 层 。 

(4) 数据 链 路 层 在 来 自 网 络 层 的 载荷 外 追加 一 个 数据 链 路 头 。 数 据 链 路 层 标 识 出 下 
一 站 的 物理 地 址 ,最 后 发 出 这 个 数据 包 。 

(5) 下 一 站 (假设 下 一 个 是 “转发 "主机 而 不 是 目的 地 ) 的 数据 链 路 层 收 到 数据 包 , 剥 
下 数据 链 路 层 头 ,将 剩余 的 数据 包 向 上 传递 给 网 络 层 。 

(6) 网 络 层 检 查 网 络 头 , 决 定 这 个 包 需 要 传递 的 下 一 站 ,以 便 最 终 路 由 到 目的 地 ,再 
将 其 打 回 数据 链 路 层 。 

(7) 数据 链 路 层 将 数据 链 路 头 追 加 到 载荷 ,将 这 个 包 传 给 下 一 站 (下 一 个 “转发 ” 
主机 ) 。 

(8) 步骤 (6) 和 (7) 不 断 重 复 ,直到 这 个 包 最 终 抵 达 目 的 地 。 

(9) 抵达 目的 地 之 后 ,数据 链 路 层 仍 然 会 剥 下 数据 链 路 层 头 , 再 将 其 向 上 传 给 网 
络 层 。 

(10) 网 络 层 从 包 中 和 剥 下 网 络 头 ,再 将 其 向 上 传 给 传送 层 。 

C11) 传送 层 检 查 传送 头 ,核实 已 正确 地 为 应 用 提供 了 服务 。 然 后 剥 下 传送 头 ,检查 
这 个 包 的 目标 是 哪 一 个 应 用 ,再 向 上 传递 给 应 用 。 

(12) 位 于 目的 地 的 应 用 (程序 ) 最 终 收 到 由 源 应 用 传 给 自己 的 数据 。 
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2.1.3 网 络 层 和 传送 层 


在 TCP/IP 协议 族 中 ,共存 在 两 种 网 络 协议 : IPv4 和 IPv6。 下 面 将 在 2.1.4 节 中 
讨论 。 

在 传送 层 ,TCP/IP 协议 族 实 现 了 两 种 协议 : 传输 控制 协议 (TCP) 以 及 用 户 数 据 报 协 
议 (UDP)。 

TCP/IP 是 一 种 “面向 连接 ”的 协议 ,可 确保 数据 包 的 发 送 顺序 以 及 保证 它们 的 正确 
投递 。 其 内 建 的 机 制 可 向 应 用 层 提供 这 些 服 务 。 除 此 以 外 ,TCP 也 实现 了 像 “ 流 控制 ”这 
样 的 机 制 ,可 确保 目标 主机 不 至 于 受到 大 量 数 据 包 的 “ 狂 艇 滥 炸 ”。UDP 则 是 一 种 “无 连 
接 ” 的 协议 , 既 不 能 担保 数据 包 投递 的 顺序 ,也 不 支持 流 控制 。 至 于 到 底 选 用 TCP 还 是 
UDP, 则 完全 由 应 用 (程序 ) 决 定 。 

尽管 在 此 不 讨论 TCP 和 UDP 头 的 细节 ,但 还 是 要 强调 一 下 两 种 头 都 包含 有 的 两 个 
字段 :“ 源 端口 ?和 “目标 端口 "字段 。 根 据 这 两 个 字段 提供 的 信息 , 便 可 知道 目标 主机 在 
接收 到 数据 时 ,如 何 对 其 进行 处 理 。 

TCP/IP 协议 族 指 出 一 个 数据 包 要 传 给 哪个 目标 应 用 (程序 ), 具 体 的 信息 用 由 连续 
五 个 单元 构成 的 一 个 字 元 组 表示 : 去 源 地 址 ,目标 地 址 , 源 端口 ,目标 端口 ,协议 之 。 对 主 
机 上 运行 的 每 个 应 用 (程序 ) 来 说 ,i 这 个 字 元 组 帮 必 须 是 独一无二 的 。 

现在 讨论 源 和 目标 地 址 字段 。 这 些 字段 是 在 网 络 头 里 设置 的 。 源 和 目标 端口 均 是 
16 位 的 一 个 字段 ,在 传送 头 内 设置 。 源 端口 由 源 主机 分 配 , 而 目标 端口 由 目标 主机 分 配 。 
一 个 应 用 要 想 同 另 一 个 主机 上 的 另 一 个 应 用 通信 :必须 知道 三 件 事情 : 目标 主机 的 地 址 ， 
应 用 程序 正在 上 面 运行 的 那个 端口 号 以 及 通过 哪 种 协议 与 之 通信 。 举 个 例子 来 说 ,大 多 
数 Web 服务 器 都 在 监听 端口 80 ,并 使 用 TCP 协议 。 一 个 应 用 (程序 ) 要 同 源 和 目标 端口 
绑 定 到 一 起 ,而 且 还 要 指定 通信 时 使 用 哪 一 种 传送 协议 。 传 送 协议 利用 这 个 字 元 组 来 标 
定 由 哪个 应 用 (程序 ) 负 责 数据 的 接收 。 


2.1.4 定 址 


对 任何 一 种 网 络 协议 来 说 ,“ 定 址 ”(addressing) 都 是 其 至 关 重 要 的 一 项 任务 。 下 面 
讨论 两 种 协议 的 定 址 方法 。 


2.1.4.1 IPv4 


IPv4( 互 联网 协议 第 4 版) 是 当今 最 流行 的 一 种 网 络 层 协议 。 它 采用 一 种 简单 的 定 址 
方案 ,并 提供 了 “无 连接 ”服务 。IPv4 是 一 种 颇 为 成 熟 的 路 由 框架 。 

IPv4 对 每 个 主机 都 用 一 个 32 位 的 地 址 来 标识 。 该 地 址 通常 以 A. B. C.D 的 形式 标 
识 。 通 常 将 这 种 记号 方法 称 为 “点 -十 ( 进 制 ) 记 号 法 ”, 因 为 每 个 符号 (A,B,C 和 D) 都 是 
与 一 个 字 节 (8 位 ) 对 应 的 十 进 制 数字 。 IPv4 地 址 的 一 个 例子 是 128. 127. 126. 125。 之 所 
以 要 选用 这 种 表示 方法 ,而 不 是 用 一 个 普通 的 大 数字 ,是 由 于 根据 它 便 可 知道 地 址 的 分 
级 ,而 且 易 于 理解 。 

IP 地 址 由 两 部 分 构成 : 一 个 网 络 ID( 标 识 符 ) 以 及 一 个 主机 ID。 其 中 ,网 络 ID MGB 
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辑 意义 上 将 一 系列 IP 地 址 组 合 到 一 起 。 之 所 以 要 进行 这 样 的 分 组 ,是 为 了 便于 提供 有 效 
地 路 由 选择 以 及 其 他 服务 ,比如 IP 广播 等 。IP 地 址 的 网 络 ID 部 分 是 通过 IP 地 址 与 网 
络 掩 码 的 “逻辑 与 "(AND) 运 算 获 得 的 。 网 络 掩 码 总 是 一 系列 相 邻 的 二 进 制 位 1。 比 如 
255. 255. 255. 0, 255. 255. 0. 0 以 及 255. 254. 0. 0 等 ,它们 都 是 “网 络 掩 码 ”(network 
mask) 的 典型 例子 。 在 这 些 例子 中 ,从 左 数 ( 自 有 效 位 开始 ) 的 24、16 和 15 ang Sale 1 
构成 。 比 如 对 128.127.126.125 这 个 IP 地 址 来 说 ,以 上 面 的 三 个 网 络 掩 码 为 例 , 乡 
辑 与 运算 后 , 它 的 网 络 ID 部 分 分 别 为 128. 127. 126 ,128. 127 以 及 128. 126 。 ee 
算 一 下 ,将 不 同 的 网 络 掩 码 与 这 个 固定 的 IP 地 址 进行 逻辑 与 运算 ,结果 是 否 和 上 面 一 样 。 
IP 地 址 通常 要 和 它 的 网 络 掩 码 联合 起 来 表达 ,表达 方式 有 两 种 : 一 种 是 128. 127. 126. 125/ 
255. 255. 255. 0, 另 一 种 是 128. 127. 126. 125/24。 两 种 表达 方式 意思 完全 一 样 , 只 是 后 一 
种 非常 简单 一 一 24 意味 着 网 络 ID 是 IP 地 址 中 24 个 有 效 位 ( 即 网 络 掩 码 从 左 数 有 24 个 1， 
即 255. 255. 255. 0)。 
IPv4 头 的 结构 如 图 2-3 所 示 。 


0 8 16 1931 
版 本 头 长 度 服务 类 型 总 长 
标识 标志 分 段 偏 移 
存活 时 间 协议 头 校 验 和 
源 地 址 
目的 地 址 
IP 选项 (如 果 有 ) 


图 2-3 IPv4 头 的 结构 图 


其 中 ,经 常用 到 的 字段 的 用 法 如 下 所 示 。 

“WAS” (version) FEE: 这 个 4 位 长 的 字段 用 于 指出 版 本 号 。 对 IPv4 来 说 , 它 的 值 为 
4。 版 本 字段 通常 作为 向 后 兼容 的 一 种 保证 来 使 用 。 若 定义 了 新 版 本 , 则 需 根据 它 同 原来 
的 系统 进行 沟通 。 

“ 头 长 度 ”(len) 字 段 : 此 字段 4 位 长 :以 32 位 (4 字 节 ) 为 单位 ,指出 头 的 长 度 。 这 这 样 
便 把 IPv4 头 的 最 大 长 度 限制 在 64 字 节 。 事 实 上 ,这 正 是 在 开发 一 种 新 版 本 的 IP 时 , 需 
要 解决 的 一 项 重要 限制 。 

“服务 类 型 ”( type of service,TOS) 字 段 : TOS 用 于 指出 数据 包 的 通信 要 求 ,8 位 长 。 
该 字段 的 具体 标准 目前 正在 IETF 的 审查 之 中 。 

“总 长 ”(total lengthy Ee. 按照 网 络 字 节 顺 序 ,16 位 长 ,以 字 节 为 单位 ,指出 数据 报 
的 长 度 ( 包 插头 在 内 )。 该 字段 用 于 向 接收 端的 网 络 层 报告 一 个 数据 报 的 总 长 。 

“标识 ”(identification) 字 有 段 : 这 是 一 个 16 位 的 字段 ,用 于 唯一 地 标识 出 一 个 IP 数据 
报 。“IP 数据 报 ” 是 指 在 传送 载荷 的 基础 上 ,加 上 IP 头 ,在 端 主机 的 背景 下 使 用 。 大 多 数 
情况 下 ,标识 字段 都 用 在 后 文 要 讲述 的 “分 片 ”的 场合 下 。 使 用 标识 字段 ,可 将 哪个 IP 包 
属于 一 个 IP 数据 报 唯一 地 标识 出 来 。 

“标志 ”(flag) 字 段 : 在 旗 标 占用 的 3 位 中 , 仅 有 2 位 有 定义 。 第 一 位 用 来 指出 是 否 对 
IP 包 进 行 “ 分 片 ”(fragment) 。 若 将 其 设置 为 1, 路 由 器 就 会 向 主机 返回 一 条 控制 消息 , 指 
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出 它 的 MTU( 最 大 传输 单元 ) 是 多 大 。 这 个 位 在 PathMTU( 路 径 MTU) 中 使 用 。 对 末端 
主机 来 说 , 它 会 通过 一 个 专门 的 进程 ,计算 出 自己 应 生成 多 大 长 度 的 IP 包 ,使 数据 包 不 至 
于 要 先进 行 分 片 , 才 能 路 由 到 目的 地 。 这 样 做 是 必要 的 ,因为 对 整个 网 络 的 运作 来 说 ,过 
多 的 分 段 会 对 其 效率 造成 严重 的 损害 。 假 如 一 个 IP 包 分 段 在 中 途 丢 失 了 ,那么 传送 层 必 
须 重新 传送 整个 数据 报 。 第 二 位 则 用 来 指出 数据 包 是 一 个 分 段 数 据 报 的 最 后 一 个 分 
段 ,还 是 紧 接 着 有 更 多 的 分 段 。 该 位 在 分 段 数 据 包 的 重新 组 合 、 装 配 过 程 中 起 着 重要 
的 作用 。 

“分 段 偏 移 ”(fragment offset) 字 段 : 该 字段 指出 在 一 个 IP 数据 报 中 ,IP 包 的 偏 移 量 
是 多 少 。 该 字段 的 实际 应 用 将 在 “分 段 " 小 节 详 述 。 

“存活 时 间 ”(CTTL) 字 段 : 该 字段 用 于 避免 数据 包 在 网 络 中 无 休止 地 游荡 ,并 能 从 管 
理 的 角度 出 发 ,规定 一 个 包 的 传输 范围 。 主 机 会 将 该 字段 设 为 一 个 特定 的 默认 值 。 在 其 
以 后 的 传输 过 程 中 ,经 过 的 每 个 路 由 器 都 会 将 该 值 减 1。 假 如 路 由 器 发 现 一 个 数据 包 的 
TTL 值 已 变 成 0 , 便 会 毫 不 留情 地 将 其 丢弃 。 这 对 避免 重复 路 由 颇 有 好 处 ,因为 假如 没 
人 把 它 丢掉 , 它 就 会 在 网 络 里 无 休止 地 游荡 下 去 。 

“pil” (protocol) FB: 这 个 8 位 的 字段 用 来 指出 该 IP 包 所 负载 的 传送 协议 。 这 个 
字段 由 端 主机 使 用 ,在 不 同 的 传送 协议 中 分 解 出 真实 的 数据 包 。 

“ 头 校 验 和 ”(header checksum) “BE: 指出 IP 头 的 校 验 和 是 多 少 ,用 来 保证 IP 头 经 
过 网 络 传输 后 的 完整 性 。 但 这 个 校 验 和 并 不 是 一 种 经 过 加 密 的 校 验 和 ,所 以 也 很 容易 被 
仿冒 。 

“ 源 地 址 ”(source address) Be: 这 是 一 个 32 位 的 字段 ,指出 生成 这 个 包 的 源 主机 的 
IP 地 址 。 
“目的 地 址 ”(destination address) 字段: 同样 是 一 个 32 位 的 字段 ,指出 目标 主机 的 
IP 地 址 。 

“IP 选项 ”(IP option): 这 是 一 个 可 选 字段 ,用 来 负载 一 些 额 外 的 信息 。 由 于 仅 从 IP 
安全 的 角度 出 发 ,这 个 选项 并 不 重要 ,所 以 这 里 不 作 讨 论 。 


2.1.4.2 IPv6 


IPv4 将 地 址 空间 限制 在 了 32 位 以 内 。 为 避免 地 址 资源 全 面 用 完 的 尴 众 局 面 ,IETF 
早 就 开始 了 下 一 版 IP 协议 的 研究 .名 为 IPv6 。IPv6 的 一 个 主要 优点 是 将 地 址 空间 从 32 
位 提升 到 了 128 位 (16 个 字 节 ) 。 

在 IPv4 基础 上 作出 的 其 他 改动 包括 : 

(1) 不 再 为 通过 路 由 器 的 数据 包 提 供 分 段 支持 。 现 在 要 由 端 主机 自己 来 执行 
PMTU. 

(2) 支持 更 丰富 的 选项 。 各 选项 现在 以 独立 的 头 的 形式 存在 ,而 不 是 成 为 IP 头 的 一 
部 分 ,显得 更 加 灵活 。 我 们 称 为 “ 头 链接 ”。 在 这 种 情况 下 .IP 扩展 头 ( 选 项 ) 要 插入 IP k 
与 传送 层 头 之 间 。 

从 概念 上 说 ,IPv6 无 论 地 址 还 是 子 网 的 定义 ,本 质 上 都 和 IPv4 差不多 。 但 是 ,IPv6 
的 地 址 长 度 达 到 了 128 位 ,而 且 采 用 了 不 同 的 表达 方法 ,不 再 采用 IPv4 的 点 -十 记号 方 
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法 ,IPv6 采用 的 是 一 种 完全 不 同 的 记号 法 , 即 由 冒号 分 隔 的 十 六 进 制 数字 ,就 像 下 面 
这 样 
0123:4567:89ab:cdef:0123:4567:89ab:cdef 


当然 ,可 以 有 许多 不 同 的 变化 ,对 这 种 地 址 加 以 压缩 。 建 议 读者 参考 有 关 IPv6 定 址 
结构 的 IETF 文件 ,了 解 更 详细 的 情况 。 

在 IPv6 中 ,网 络 掩 码 以 及 子 网 的 概念 都 与 IPv4 类 似 。IPv6 运用 了 一 种 包容 力 更 强 
的 分 级 结构 来 进行 定 址 ,从 而 简化 了 路 由 选择 以 及 地 址 分 配 的 问题 。 

IPv6 头 的 结构 如 图 2-4 所 示 o 


0 4 31 

版 本 通信 类 别 流标 签 

载荷 长 度 Fpa 跳跃 限制 
源 地址 

目的 地 址 


图 2-4 IPv6 头 的 结构 图 


对 各 字段 的 解释 如 下 。 

“版 本 ”(version) 字 段 : 这 个 长 度 为 4 位 的 字段 用 于 指出 版 本 号 。 对 IPv6 来 说 , 它 的 
值 为 6。 

“通信 类 别 ”(traffic class) F BE: 这 个 8 位 的 字段 用 来 指出 数据 包 的 通信 要 求 ,类似 
于 IPv4 头 中 的 TOS( 服 务 类 型 ) 字 段 。 

“流标 签 ”(flow label) 字 段 : 这 是 一 个 20 位 的 字段 , 仍 处 在 试验 阶段 ,目前 仍 不 清楚 
它 未 来 将 用 于 何 种 目的 。 一 种 可 能 的 用 法 是 标识 出 需要 由 路 由 器 特殊 处 理 的 一 个 流 。 

“AN far KK RE” Cpayload len) 字 段 : 这 个 16 位 的 字段 指出 除 IPv6 头 以 外 的 载荷 长 度 。 

“下 一 个 头 ”(next header) 字 段 : 这 是 一 个 长 度 为 8 位 的 字段 ,类 似 于 IPv4 的 “协议 ” 
字段 ,唯一 的 差别 是 ,和 IPv4 不 一 样 ,选项 头 可 能 会 在 这 个 字段 中 出 现 。 

“跳跃 限制 ”hop limit) 字 段 : 这 个 8 位 的 字段 等 同 于 IPv4 头 中 的 TTL( 存 活 时 间 ) 
字段 。 

“ 源 地 址 ”(source address) 字 段 : 这 是 一 个 128 位 的 字段 ,代表 IPv6 源 地 址 。 

“目的 地 址 ”(destination address) 字段 : 同 源 地 址 字段 ,用 128 来 表示 IPv6 目标 
地 址 。 


2.1.4.3 域名 系统 


域名 系统 (domain name system.DNS) # Internet 中 一 种 简单 和 易于 扩展 的 目录 系 
统 。 它 最 重要 的 功用 是 将 采用 www. xyz. com 这 种 形式 的 一 个 机 器 名 称 翻 译 成 数字 形式 
的 IP 地 址 。 对 普通 人 来 说 ,显然 不 可 能 记 住 大 量 地 址 ,特别 是 当地 址 没有 语义 上 的 关联 
时 。 此 外 ,IP 地 址 大 多 是 动态 分 配 的 ,每 次 都 有 可 能 不 同 。 因 此 ,IP 地 址 的 记忆 通常 是 件 
没有 意义 的 事情 。 但 在 另 一 方面 ,网 络 层 能 够 识别 和 处 理 的 只 能 是 这 种 形式 的 地 址 。 因 
此 ,有 必要 设置 一 个 易于 伸缩 的 系统 ,将 一 个 名 字 动 态 地 翻译 成 IP 地 址 。 
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为 满足 这 个 要 求 ,DNS 定义 了 一 个 域名 结构 。 

使 用 了 ”* 根 ”的 概念 。 根 服务 器 是 众所周知 的 。 事 实 上 ,目前 有 几 个 著名 的 根 服务 器 。 
1 个 为 主根 服务 器 ,放置 在 美国 。 其 余 12 个 均 为 辅 根 服务 器 ,其 中 9 个 放置 在 美国 ; 欧洲 
2 个 ,位 于 英国 和 瑞典 ; 亚洲 1 个 ,位 于 日 本 。 所 有 根 服务 器 均 由 美国 政府 授权 的 互联 网 
域名 与 号 码 分 配 机构 ICANN 统一 管理 ,负责 全 球 互联 网 域名 根 服 务 器 、 域 名 体系 和 IP 
地 址 等 的 管理 。 在 “ 根 ” 的 下 方 , 便 是 一 些 大 家 熟悉 的 “ 域 ”", 如 图 2-5 所 示 。 


在 这 些 大 家 熟知 的 域 下 方 ,存在 着 多 组 织 , 均 从 根 
属于 特定 的 域 。 例 如 ,com 域 注册 在 根 服务 器 下 方 ， N 
而 公司 xyz 注册 在 com 域 下 方 。 域 名 注册 便 意味 着 aa a ar 


一 个 单位 打算 运行 一 个 域名 服务 器 ,用 来 回应 查询 。 

假如 一 个 客户 机 想 同 主机 通信 , 便 会 请 求解 析 
器 (负责 将 域名 解析 成 IP 地 址 的 软件 ) 将 对 方 的 域 
名 解析 成 IP 地 址 。 例 如 ,在 浏览 器 地 址 栏 中 输入 
www. xyz. com, 浏 览 器 便 会 向 解析 器 发 出 请 求 ,将 
www. xyz. com 这 个 名 字 “ 映 射 " 成 为 TP 地 址 。 解 析 
器 随 之 会 采取 一 系列 预先 规定 的 步骤 .将 域名 解析 成 IP 地 址 。 解 析 好 域名 后 ,客户 机 便 
能 用 数字 形式 的 IP 地 址 同 www. xyz. com 处 的 Web 服务 器 正常 通信 。 而 在 操作 者 的 眼 
中 ,似乎 仍 在 使 用 普通 的 英语 形式 的 地 址 。 也 就 是 说 ,域名 解析 在 操作 者 的 眼中 是 “ 透 
WAP AY 

除 解析 DNS 名 字 以 外 ,DNS 还 用 来 解析 邮件 主机 。 换 言 之 , 它 能 判断 将 投递 给 xyz 
. com 这 家 公司 的 所 有 邮件 具体 投递 至 何 处 。 另 外 ,DNS 也 在 不 断 地 进行 改进 ,可 提供 其 
他 更 高 级 的 目录 服务 。 在 此 建议 读者 参考 其 他 书籍 ,以 便 更 好 地 理解 DNS 以 及 它 的 
功用 。 


2.1.5 路 由 
2.1.5.1 分 段 


所 谓 “ 分 段 ”"(fragmentation) 是 指 在 源 主机 或 者 路 由 器 处 ,将 一 个 IP 包 分 割 为 多 个 
IP 包 的 一 种 过 程 。 经 过 分 段 后 ,每 个 包 都 单独 传送 ,并 在 目的 地 (目标 主机 ) 处 重新 装配 。 
现在 ,大 家 马上 会 产生 一 个 问题 : 为 什么 需要 对 IP 包 分 段 呢 ? 

IP 层 可 接收 来 自传 送 层 的 任何 载荷 。 传 送 层 载荷 可 以 为 任意 大 小 ( 仅 受 系统 的 缓冲 
区 大 小 设置 所 限 )。IP 层 没 有 能 力 对 上 层 传 给 自己 的 数据 进行 限制 。 然 而 ,由 于 网 络 层 
(IP) 必 须 通 过 一 个 物理 接口 来 发 送 数 据 包 ,所 以 就 对 能 够 通过 这 个 接口 发 送 的 数据 包 的 
大 小 提出 了 限制 。 这 是 由 于 对 数据 包 通 过 的 传输 介质 来 说 , 它 本 身 便 存在 物理 上 的 一 些 
限制 。 比 如 对 Ethernet( 以 太 网 ) 来 说 . 包 的 最 大 长 度 不 可 超过 1518 字 节 。 假 如 IP 层 的 
传送 载荷 大 于 1480 字 节 (没有 额外 的 选项 设置 ) ,那么 在 它 发 送 之 前 :必须 先进 行 一 次 分 
段 处 理 。 和 否则 ,整个 包 的 大 小 就 会 超过 1518 字 节 : (1480 十 20 字 节 的 IP 头 ) 十 (14 HF 
节 的 Ethernet 层 头 ) 十 (4 字 节 的 CRC 错误 校 验 ) 。 


图 2-5 域名 系统 


26 网 络 安全 协议 理论 与 技术 


网 络 层 数据 包 也 有 可 能 在 路 由 器 处 进行 分 段 处 理 , 因 为 两 个 物理 层 之 间 可 能 出 现 数 
据 包 允许 的 最 大 长 度 不 相符 的 情况 。 举 个 例子 来 说 ,路 由 器 的 数据 进入 接口 连接 的 可 能 
是 一 个 令 牌 环 网 络 ,其 最 大 包 长 度 为 4096 字 节 ; 而 外 出 接口 连接 的 是 一 个 以 太 网 ,其 最 
大 包 长 度 为 1518。 假 如 自 令 牌 环 进入 的 IP 包 超 过 1500 字 节 ,路 由 器 就 必须 对 其 进行 分 
段 ,尽管 它 自己 本 身 并 不 产生 新 的 IP 包 。 

到 达 目 的 地 以 后 ,IP 层 必须 重新 装配 (整合 ) 所 有 分 段 的 数据 包 。 完 成 之 后 ,才能 将 
载荷 传 给 传送 层 。 如 图 2-2 所 示 ,位 于 目标 主机 的 传送 层 应 看 到 和 源 主机 自传 送 层 向 下 
传 给 网 络 层 的 一 模 一 样 的 数据 。 因 此 ,现在 要 由 IP 层 来 负责 装配 所 有 分 段 的 数据 包 、 构 
建 传送 载荷 以 及 将 其 上 传 给 传送 层 。 

IP 层 为 达到 分 段 及 重新 装配 之 目的 ,需要 用 到 IP 头 内 包含 的 旗 标 .长 度 以 及 分 段 偏 
移 等 字段 。 

但 我 们 认为 数据 包 的 分 段 对 于 整个 网 络 来 说 是 有 害 的 。 这 是 由 于 ,即便 只 丢失 了 其 
中 一 个 分 段 的 数据 包 ,可靠 传送 层 也 必须 重 传 整个 传送 载荷 ,因为 IP 层 并 不 会 对 数据 包 
进行 缓存 处 理 。 为 避免 分 段 现 象 的 发 生 ,IP 层 必 须 在 从 源 主 机 到 目标 主机 的 整个 路 径 
中 ,监视 MTU( 最 大 传输 单元 ) 值 的 大 小 。 这 个 过 程 叫做 PathMTU 查找 或 者 PMTU。 
IP 层 完 成 了 对 PMTU 的 调查 以 后 , 便 永远 不 会 发 出 超过 PMTU 上 限 的 一 个 数据 包 , 从 
而 达到 了 避免 分 段 的 目的 。 


2.1.5.2 ICMP 


ICMP 是 “互联 网 控制 消息 协议 ”的 简称 ,用 于 确保 正确 的 网 络 运 作 方 式 以 及 调试 。 
该 协议 运行 于 网 络 协议 (如 IPv4 或 IPv6) 的 顶部 。 

ICMP 消息 同时 可 由 主机 及 路 由 器 产生 ,用 来 监视 网 络 以 及 保证 网 络 的 正常 运转 。 
例如 ,假定 一 个 路 申 器 没有 到 达 一 个 特定 网 络 的 路 由 , 便 会 向 主机 返回 一 条 ICMP 消息 ， 
告知 它 网 络 不 可 抵达 。 假 如 路 由 器 在 丢弃 一 个 数据 包 的 时 候 , 不 作出 任何 明确 的 提示 , 那 
么 对 网 络 的 监视 无 疑 会 成 为 一 场 焉 梦 。ICMP 的 作用 便 是 判断 一 个 主机 是 否 能 够 抵达 。 
ICMP 在 PMTU 查找 过 程 中 得 到 了 广泛 应 用 。 假 如 路 由 器 需要 对 一 个 包 进 行 分 段 , 但 包 
内 未 设置 “分 段 " 字 段 ,路 由 器 就 会 向 始 发 主机 ( 源 主机 ) 返 回 一 条 ICMP 消息 ,告诉 它 这 条 
链 路 的 MTU 值 是 多 少 。 收 到 这 条 消息 后 ,主机 就 知道 如 何 生 成 数据 包 ,保证 它 的 大 小 不 
会 超过 规定 的 MTU 值 。 


2.1.5.3 多 播 


IP 也 提供 了 将 一 个 包 发 给 Internet 任何 地 方 的 多 个 主机 的 能 力 。 这 属于 广播 通信 
的 一 种 特殊 情况 。 在 这 种 情况 下 ,只 有 感 兴趣 的 主机 才 会 接收 到 这 个 包 。 以 每 次 收视 付 
费 的 视频 广播 为 例 , 假 定 一 家 有 线 电视 公司 通过 Internet 将 节目 广播 给 自己 的 所 有 付费 
收视 户 , 那 么 它 可 有 3 种 选择 来 进行 操作 : 

(1) 将 视频 信号 单独 传送 给 每 个 收视 户 。 这 种 方式 会 产生 非常 高 的 开销 ,因为 相同 
的 数据 需要 不 断 地 复制 ,传送 给 每 一 位 收视 户 。 这 样 便 会 带 来 许多 副作用 ,除了 会 显著 增 
加 Internet 通信 和 量 以 外 ,也 会 为 负责 传送 数据 的 服务 器 带 来 可 怕 的 压力 。 
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D 将 信号 广播 到 整个 Internet。 这 种 方式 是 最 不 能 让 人 接受 的 ,因为 即使 那些 没有 
付费 的 人 ,也 会 看 到 这 个 收视 付费 的 节目 。 另 外 ,Internet 一 级 的 广播 通信 几乎 是 无 法 实 
现 的 。 

(3) 使 用 一 种 名 为 “多 播 ”( 多 点 传送 ) 的 技术 ,只 向 收视 户 传送 视频 信号 。 多 播 技术 
实际 上 是 一 种 智能 的 包 投 递 机 制 , 只 有 真正 的 注册 收视 户 才 能 得 到 数据 包 。 数 据 只 在 那 
些 含有 收视 户 的 信道 上 传送 ,只 有 那些 真正 注册 的 用 户 ( 节 点 ) 才 能 收 到 数据 ,而 且 同 样 的 

多 播 包 的 格式 与 单 播 IP 包 类 似 。 但 是 .IP 头 的 “目的 地 ?字段 填 的 却 是 一 个 多 播 地 
址 ,而 非 单 播 地 址 。 这 样 便 产 生 了 一 个 显而易见 的 问题 : 如 果 不 能 将 一 个 主机 唯一 地 标 
识 出 来 ,那么 如 何 决 定 将 数据 包 投 递 到 哪里 呢 ? 这 正 是 多 播 技术 的 妙 处 ! 路 由 层 为 此 提 
供 了 特别 的 支持 ,知道 哪些 主机 正在 监听 一 个 特定 的 多 播 地 址 。 然 而 ,对 于 多 播 ( 多 点 传 
送 ) 技 术 的 详细 讨论 已 超出 了 本 书 的 范围 ,这 里 不 再 介绍 。 


2.2 Bc Internet 不 安全 的 原因 


Internet 的 基石 是 TCP/IP 协议 ,该 协议 在 实现 上 力求 简单 高 效 ,没有 考虑 安全 因 
素 。 所 以 ,TCP/IP 本 身 在 设计 上 就 是 不 安全 的 。 

现存 TCP/IP 协议 的 安全 缺陷 主要 表现 如 下 。 

(1) 容易 被 窃听 和 欺骗 : TCP/IP 协议 数据 流 采 用 明文 传输 ,特别 是 在 使 用 FTP、 
TELNET 和 HTTP 时 ,用 户 的 账号 .口令 都 是 明文 传送 的 ,很 容易 被 在 线 窃听 .修改 和 伪 
造 。 可 以 实现 这 些 的 工具 很 多 ,而 且 在 网 上 是 免费 提供 的 。 

(2) 脆弱 的 TCP/IP 服务 : 很 多 基于 TCP/IP 的 应 用 服务 都 在 不 同 程度 上 存在 着 安 
全 问题 。 这 很 容易 被 一 些 对 TCP/IP 十 分 了 解 的 人 所 利用 ,一 些 新 的 处 于 测试 阶级 的 服 
务 有 更 多 的 安全 缺陷 。 这 类 例子 如 下 。 

O 数据 源 地 址 欺骗 : 攻击 者 修改 发 送 的 数据 源 地 址 .冒充 某 个 可 信和 节点 的 IP 地 址 进 
行 攻击 。 

© 路 由 信息 协议 攻击 : 路 由 信息 协议 用 于 在 网 络 中 发 布 路 由 信息 ,为 网 络 中 的 节点 
提供 一 致 的 路 由 选择 和 可 达 信 息 , 但 节点 对 收 到 的 信息 不 进行 真 假 检验 ,因此 ,攻击 者 可 
以 在 网 上 发 布 错 误 的 路 由 信息 ,利用 ICMP 的 重 定向 信息 欺骗 路 由 器 或 主机 ,从 而 对 网 络 
进行 攻击 。 

© TCP 序列 号 欺骗 : 由 于 TCP 序列 号 可 以 预测 ,因此 ,攻击 者 可 以 构造 IP 包 对 网 
络 的 某 个 可 信 节 点 进行 攻击 .通过 对 节点 发 送 大 量 P 包 , 使 节点 消耗 大 量 资源 ,致使 系统 
HAWE ,造成 拒绝 服务 攻击 。 

(3) 缺乏 安全 策略 : 许多 站 点 在 防火 墙 配 置 上 无 意识 地 扩大 了 访问 权限 ,忽视 了 这 
些 权 限 可 能 会 被 内 部 人 员 滥 用 。 黑 客 从 一 些 服务 中 可 以 获得 有 用 的 信息 ,而 网 络 维护 人 
员 却 不 知道 应 该 禁止 这 种 服务 。 这 类 例子 如 下 。 

鉴别 攻击 : 目前 ,防火 墙 系统 能 对 IP 地 址 .协议 端口 进行 鉴别 ,而 无 法 对 登录 用 户 身 
份 的 有 效 性 进行 鉴别 ,因此 ,不 能 对 内 部 网 络 的 入侵 者 进行 有 效 防范 。 
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(4) 配置 的 复杂 性 : 访问 控制 的 配置 一 般 十 分 复杂 ,所 以 很 容易 被 错误 配置 ,从 而 给 黑 
客 以 可 乘 之 机 。 例 如 , 源 路 由 选择 欺骗 ,为 了 测试 ,IP 数据 报 设置 了 一 个 IPSourceRouting 选 
项 ,修改 该 选项 可 以 直接 指明 到 达 节 点 ,攻击 者 可 以 使 用 这 一 选项 进行 攻击 。 

除 上 面 的 4 个 问题 外 ,还 有 TCP/IP 协议 是 公开 的 ,了 解 它 的 人 越 多 ,那么 就 越 有 可 
能 被 人 破坏 。 

现在 ,银行 之 间 在 专用 网 上 传输 数据 所 用 的 协议 都 是 保密 的 ,这 样 就 可 以 有 效 地 阻止 
和 入侵。 当然, 人们 不 能 把 TCP/IP 协议 和 其 实现 代码 保密 ,这 样 也 不 利于 TCP/IP 网 络 的 
发 展 ,但 可 以 在 其 他 方面 弥补 。 

另 一 方面 ,还 有 来 自 于 人 的 威胁 和 自然 的 破坏 。 在 这 两 个 因素 中 ,人 的 破坏 更 为 
严重 。 自 然 的 破坏 可 以 通过 数据 备份 和 宛 余 设置 来 完成 ,但 人 的 破坏 却 是 防 不 胜 
防 的 。 

自然 灾害 和 事故 包括 硬件 故障 .电源 故障 、 软 件 错误 .火灾 .水 灾 、 风暴 和 工业 事故 等 ， 
它们 共同 的 特点 是 具有 突 发 性 ,人 们 很 难 防止 它们 的 发 生 。 减 小 损失 的 最 好 办 法 ,就 是 备 
份 和 元 余 设置 。 备 份 并 不 像 看 起 来 那样 简单 ,对 一 些 金融 机 构 、 大 公司 ,数据 备份 量 极 大 。 
元 余 设 置 的 应 用 很 多 .简单 的 可 以 在 局 域 网 上 建 两 个 域 服务 器 复杂 的 双环 结构 网 络 , 当 任 
何 一 单 环 发 生 故 障 , 它 会 自动 形成 一 个 单 环 继续 工作 。 一 些 主干 网 的 路 由 器 也 需要 元 余 
备份 ,防止 路 巾 器 发 生 事故 。 

人 的 破坏 主要 来 自 于 黑客 ,网 络 犯罪 现在 已 经 成 为 犯罪 学 的 一 部 分 。 这 些 罪 犯 知识 
水 平 高 ,危害 性 大 而 且 隐 项 性 很 强 。 现 在 ,在 Internet 上 实行 商业 信息 盗窃 .银行 抢劫 越 
来 越 多 ,黑客 不 单 是 一 些 想 显示 自己 计算 机 水 平 的 好 奇 的 大 学 生 ,更 有 一 些 专职 的 商业 间 
谍 。 在 美国 ,许多 银行 开始 进入 Internet, 用 户 可 以 在 Internet 上 存 取 银 行 里 的 钱 。 纽 约 
的 道琼斯 股票 交易 所 也 提供 了 Internet 服务 ,股民 可 以 在 网 上 买卖 股票 。 而 这 些 服务 对 
黑客 来 说 确实 是 具有 诱惑 力 的 。 除 了 对 钱财 的 贪 禁 , 有 一 些 黑客 的 入 侵 是 出 于 其 他 
目的 。 

另 一 种 危害 很 大 的 入 侵 , 是 不 满 被 解雇 的 职员 对 内 部 网 络 的 入 侵 。 这 种 人 侵 危 害 大 
是 因为 入 侵 者 对 内 部 网 络 很 了 解 。 实 施 和 人 侵 的 黑客 的 水 平 很 不 相同 ,最 低层 的 人 侵 就 是 
电子 邮件 炸弹 ,这 种 网 络 危 害 不 算 很 大 ,只 可 能 会 造成 拒绝 服务 ; 再 深 一 层 的 入 侵 就 是 得 
到 了 一 些 不 该 有 的 权限 ,如 偷 看 别人 的 邮件 :也 可 能 获得 了 有 限 的 非法 的 写 的 权力 。 最 高 
的 一 层 是 入 侵 者 得 到 了 root 权限 ,对 网 络 可 以 进行 任意 的 破坏 。 有 些 高 级 的 人 侵 者 本 身 
就 是 一 些 大 机 构 的 系统 管理 员 或 安全 顾问 。1994 年 ,美国 一 家 大 机 构 的 安全 顾问 被 逮捕 
了 ,他 是 一 个 很 有 影响 力 的 系统 管理 员 .也 曾 在 BELL 实验 室 工作 过 ,但 他 却 多 次 入 侵 了 
Intel 公司 的 网 络 ,最 后 被 Intel 公司 的 一 个 网 络 管理 员 发 现 了 。 

除了 直接 人 侵 外 ,各 种 病毒 程序 也 是 Internet 上 的 巨大 危险 。 这 些 病 毒 可 以 随 下 载 
的 软件 ,Java 程序 、ActiveX 控件 进入 公司 的 内 部 网 络 。 虽 然 , 现 在 有 些 防 火 墙 声称 具有 
防毒 的 功能 ,但 新 的 病毒 是 旧病 毒 的 变异 品种 , 仍 会 溜 进 用 户 的 网 络 。 病 毒 程序 中 有 一 种 
被 称 为 特洛伊 木马 的 程序 ,这 种 程序 表面 上 是 无 害 的 ,具有 很 强 的 隐蔽 性 ,但 在 背后 破坏 
用 户 的 网 络 。 

人 们 对 网 络 病毒 的 研究 开始 于 1988 年 的 Morris 蠕虫 事件 。 当 时 ,这 种 疯狂 自我 复 
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制 的 病毒 袭 卷 了 Internet ,使 人 们 突然 意识 到 了 网 络 病毒 的 存在 。 

现在 ,黑客 已 经 不 单 兵 作战 了 ,他 们 有 自己 的 组 织 .自己 的 站 点 ,如 果 发 现 一 个 安全 缺 
陷 很 快 就 会 在 黑客 中 间 传 开 。 所 以 说 ,Internet 上 的 网 络 安全 对 抗 并 不 是 一 次 战斗 ,而 是 
一 场 战争 。 


2.3 Internet 中 与 安全 相关 的 协议 


2.3.1 实施 安全 保护 的 层次 


在 Internet 中 ,存在 着 大 量 特制 的 协议 ,专门 用 来 保障 网 络 各 个 层次 的 安全 。 决 定 到 
底 在 堆栈 的 什么 地 方 应 用 安全 措施 时 ,要 依赖 于 应 用 对 安全 保密 的 要 求 以 及 用 户 自己 的 
一 些 需 要 。 但 无 论 在 堆栈 的 什么 地 方 采取 安全 措施 ,下 面 这 些 基本 服务 都 是 必须 要 提 
供 的 : 

(1) 密 钥 管理 。 

(2) 机 密 性 。 

(3) 不 可 抵赖 。 

(4) 完整 性 /身份 验证 。 

(5) 授权 。 

网 络 的 安全 并 非 只 是 OSI 参考 模型 某 一 层 上 的 事情 ,事实 上 ,每 一 层 都 可 以 采取 一 
定 的 措施 来 防止 某 些 类 型 的 网 络 人 侵 事 件 ,在 一 定 的 程度 上 保障 数据 的 安全 。 比 如 在 物 
理 层 上 ,包括 在 电缆 的 密封 套 中 充 人 高 压 的 氛 气 , 当 和 人 侵 者 刺 破 密封 套 进行 线路 穷 听 时 ， 
由 于 气体 泄漏 导致 压力 下 降 而 发 出 警告 ; 在 链 路 层 上 可 以 在 两 端 进行 加 密 解 密 ; 在 网 络 
层 上 可 以 采取 防火 墙 技术 过 滤 数 据 包 ; 而 在 传输 层 上 整个 连接 都 可 以 被 加 密 。 但 所 有 这 
些 措施 都 只 是 针对 数据 加 密 。 

从 技术 上 看 .在 堆栈 的 什么 地 方 实施 安全 措施 ,可 进行 选择 。 某 些 情况 下 有 必要 在 某 
一 层 提 供 部 分 安全 服务 ,而 在 另 一 层 提 供 其 他 服务 。 

下 面 讨 论 在 堆栈 各 层 ( 应 用 层 、 传 送 层 、 网 络 层 ` 数 据 链 路 层 ) 提 供 安全 保障 的 优点 与 
缺点 。 


2.3.2 应 用 层 


应 用 级 的 安全 措施 必须 在 端 主机 上 实施 。 在 应 用 层 提 供 安 全 保障 有 以 下 几 个 方面 的 

(1) 由 于 是 以 用 户 为 背景 执行 ,所 以 更 容易 访问 用 户 凭 据 ,比如 私人 密 钥 等 。 

D 对 用 户 想 保护 的 数据 具有 完整 的 访问 权 。 这 便 简化 了 提供 一 些 特殊 的 服务 , 比 
如 不 可 抵赖 。 

(3) 一 个 应 用 可 自由 扩展 ,不 必 依 赖 操作 系统 来 提供 这 些 服务 。 通 常 ,应 用 对 于 操作 
系统 上 实施 的 东西 没有 控制 权 。 
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(4) 应 用 对 数据 有 着 充分 的 理解 ,可 据 此 采取 相应 的 安全 措施 。 

应 用 层 安 全 的 缺点 在 于 针对 每 个 应 用 ,都 要 单独 设计 一 套 安 全 机 制 。 这 意味 着 对 现 
有 的 应 用 来 说 ,必须 对 其 进行 改进 ,才能 提供 安全 保障 。 由 于 每 个 应 用 都 必须 定义 自己 的 
安全 机 制 , 所 以 犯错 误 的 概率 大 增 , 为 黑客 打开 了 更 多 的 安全 漏洞 。 

在 应 用 中 实施 安全 机 制 时 ,程序 要 和 一 个 特殊 的 系统 集成 到 一 起 ,建立 最 终 的 安全 机 
制 。 此 类 系统 的 例子 包括 PGP、Kerberos 以 及 SecureShell( 安 全 外 壳 )。 这 些 系统 均 属 应 
用 级 的 协议 ,可 提供 密 钥 协商 以 及 其 他 安全 服务 。 应 用 程序 通过 改进 ,可 调用 这 种 系统 以 
使 用 它们 的 安全 机 制 。 典 型 的 例子 是 E-mail 客户 端 软件 , 它 用 PGP 来 保障 电子 邮件 的 
安全 。 

在 这 种 情况 下 ,E-mail 客户 端 通过 扩展 .增加 了 下 面 这 些 额外 的 功能 : 

(1) 可 在 一 个 本 地 数据 库 里 查找 与 某 位 特定 用 户 对 应 的 公共 密 钥 。 

(2) 可 提供 多 种 安全 服务 ,比如 加 密 / 解 密 、 不 可 抵赖 (信件 加 上 了 自己 的 签名 ,其 发 
件 人 不 容 抵 赖 ) 以 及 对 电子 邮件 发 件 人 的 身份 进行 验证 等 。 

对 应 用 而 言 ,应 根据 需要 设计 好 自己 的 安全 机 制 , 不 可 依赖 较 低 的 层 来 提供 这 些 服 
务 。“ 不 可 抵赖 "安全 服务 便 是 这 样 的 一 个 例子 。 对 低层 服务 来 说 ,其 实 很 难 提供 “不 可 抵 
HIRS ,因为 它们 没有 权力 访问 数据 。 

下 面 简单 介绍 几 种 运行 于 应 用 层 上 的 安全 协议 : 

(1) SSH(secure shell) ,是 一 种 远程 登录 的 安全 协议 。 它 通过 在 终端 机 上 将 所 有 需 
要 传输 的 数据 进行 加 密 ,以 此 来 防止 "中 间 人 ”这 样 的 攻击 方式 和 DNS IP 欺骗 等 。 其 加 
密 方式 一 般 基 于 RSA .Diffie-Helman 和 数字 签名 等 算法 。 

(2) SET(secure electronic transaction) ,是 一 个 基于 可 信 的 第 三 方 认 证 中 心 并 以 此 
实现 网 上 交易 的 模型 和 规范 。 从 概念 上 讲 , 它 也 是 通用 信用 卡 的 自然 延 折 。SET 能 够 确 
保 身 份 认证 的 安全 可 靠 ,实现 信息 的 保密 性 和 完整 性 要 求 。 在 SET 中 ,通常 使 用 的 是 
DES 与 RSA 混合 的 方法 ,目前 也 采用 AES 和 ECC 相 结合 的 方法 。 

(3) S-HTTP(secure hypertext transfer protocol) ,是 一 个 Web 安全 协议 。 它 通过 把 
加 蜜 增强 功能 集成 到 HTTP 通信 流 中 ,在 应 用 层 实现 对 WWW 的 安全 支持 。 该 协议 利 
用 MIME, 基 于 文本 进行 加 密 、 报 文 认 证 和 密 钥 分 发 等 。 详 细 内 容 可 参考 第 6 章 中 相关 
内 容 。 

(4) PEM(privacy enhanced mail) ,是 Internet 上 最 初 的 加 密 邮 件 协议 。 它 主要 实现 
包括 报 文 加 密 、 数 据 源 认 证 以 及 确保 消息 完整 性 和 不 可 抵赖 性 等 功能 。PEM 基于 RSA 
和 DES 的 密码 算法 来 实现 其 安全 性 。 同 时 ,也 可 通过 ECC 和 AES 的 配合 使 用 来 达到 其 
安全 性 要 求 。 

(5) S/MIME(secure/multipurpose internet mail extension) ,是 一 个 电子 邮件 安全 
协议 。 通 过 使 用 签名 、 加 密 或 签名 /加 密 的 组 合 来 保证 MIME 通信 的 安全 ,并 强化 了 证 书 
的 规范 性 。 它 主要 采用 DES 和 RSA 密码 算法 ,更 加 高 级 的 应 用 是 通过 AES 和 ECC 加 
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2.3.3 传送 层 


与 应 用 层 安 全 相 比 ,在 传送 层 提供 安全 服务 具有 一 些 明 显 的 好 处 ,因为 它 不 会 强制 要 
求 每 个 应 用 都 在 安全 方面 作出 相应 的 改进 。 即 使 现 有 的 应 用 本 身 没 有 提供 安全 服务 ,也 
能 自然 “无 颖 ?地 获得 安全 服务 。 

然而 ,由 于 要 取得 用 户 场 景 ,所 以 局 面 也 变 得 复杂 起 来 。 为 提供 由 具体 用 户 决定 的 服 
S ,假定 只 有 一 名 用 户 使 用 系统 ,而 且 这 种 假定 目前 已 成 为 一 种 标准 的 做 法 。 与 应 用 层 的 
安全 类 似 , 传 送 层 的 安全 只 可 在 端 系统 (end system) 实 现 。 

具体 的 传送 层 安 全 措施 要 取决 于 有 具体 的 协议 。 其 中 ,名 字 叫 “传送 层 安全 "(TLS) 的 
一 种 协议 在 TCP 的 顶部 提供 了 如 身份 验证 、 完 整 性 检验 以 及 机 密 性 保证 这 样 的 安全 服 
务 。TLS 需要 为 一 个 连接 维持 相应 的 场景 ,而 且 目 前 并 未 在 UDP 上 实现 ,因为 UDP 并 
不 维持 任何 场景 。 

由 于 安全 机 制 与 特定 的 传送 协议 有 关 , 所 以 像 密 钥 管理 这 样 的 安全 服务 可 能 使 每 种 
传送 协议 重复 。 

万 维 网 (WWW) 目 前 用 TLS 提供 安全 服务 。 然 而 ,假如 安全 服务 在 网 络 层 实现 , 它 
便 会 向 下 移 至 网 络 层 。 根 据 目 前 的 定义 ,传送 层 安 全 的 男 一 个 限制 是 应 用 程序 需要 进行 
修改 ,才能 请 求 传送 层 提供 安全 服务 。 

下 面 简 单 介绍 几 种 运行 于 传送 层 上 的 安全 协议 : 

(1) SSLP(secure sockets layer protocol) ,是 一 个 用 于 在 Internet 上 进行 保密 通信 的 
安全 协议 。 准 确 地 说 , 它 是 位 于 TCP 层 和 应 用 层 之 间 的 , 且 对 应 用 层 透 明 。SSLP 所 基 
于 的 是 不 同 密 钥 长 度 的 RC-2 或 RC-4、DES 以 及 AES、ECC 等 高 级 密码 算法 和 杂凑 算法 
MD5 的 各 种 搭配 。 其 更 多 详细 内 容 在 第 6 章 中 会 讲 到 。 

(2) TLS(transport layer security) ,其 实质 是 将 SSL 通用 化 的 安全 协议 。 它 提供 两 
个 通信 应 用 程序 之 间 的 保密 性 和 数据 完整 性 。 该 协议 基于 DES、SHA、RSA 以 及 AES、 
ECC 等 密码 算法 。 

(3) SOCKSv5 ,是 防火 墙 及 VPN 用 的 数据 加 密 及 认证 的 安全 协议 。 它 提供 网 络 应 
用 的 基于 代理 的 服务 ,能够 对 所 有 IP 应 用 进行 认证 和 加 密 , 同 时 还 增加 了 强 有 力 的 安全 
协商 机 制 。 有 具体 内 容 见 第 6 章 中 相关 小 节 。 


2.3.4 ME 


在 网 络 层 实 现 安全 服务 具有 多 方面 的 优点 。 首 先 , 密 钥 协商 的 开销 被 大 大 地 削减 了 。 
这 是 由 于 多 种 传送 协议 和 应 用 程序 可 共享 由 网 络 层 提供 的 密 钥 管理 架构 。 其 次 ,假如 安 
全 服务 在 较 低层 实现 ,那么 需要 改动 的 应 用 程序 便 要 少 得 多 。 通 过 它 ,我 们 不 必 集 中 在 较 
高 层 实现 大 量 安全 协议 。 假 如 安全 协议 在 较 高 层 实现 , 那 么 每 个 应 用 都 必须 设计 自己 的 
安全 机 制 。 

这 样 做 除 极 易 产 生 安 全 漏洞 以 外 :而 且 出 现 犯错 误 的 概率 也 会 增加 。 然 而 ,对 于 任何 
传送 协议 ,都 可 为 其 "无 颖 ?地 提供 安全 保障 。 

网 络 层 安全 最 有 用 的 一 项 特性 是 能 够 构建 VPN 和 内 部 网 (Intranet) 。 由 于 VPN 和 
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内 部 网 是 以 子 网 为 基础 ,而 且 网 络 层 支持 以 子 网 为 基础 的 安全 ,所 以 很 容易 实现 VPN 和 
内 部 网 。 

在 网 络 层 提供 安全 服务 的 缺点 是 很 难 解决 像 数 据 的 “不 可 抵赖 "之 类 的 问题 。 这 样 的 
问题 最 好 还 是 在 较 高 层 解 决 。 若 在 网 络 层 提供 安全 服务 ,很 难 在 一 部 多 用 户 的 机 器 上 实 
现 逐 用 户 的 控制 。 然 而 ,可 在 终端 主机 上 提供 相应 的 机 制 ,实现 以 用 户 为 基础 的 安全 
保障 。 

在 路 由 器 上 ,由 于 不 存在 用 户 场景 ,所 以 这 个 问题 不 会 出 现 。 

作为 本 书 的 重点 ,IP 安全 机 制 在 网 络 层 提供 了 安全 服务 。IPSec(Internet Protocol 
Security) 是 目前 唯一 一 种 能 为 任何 形式 的 Internet 通信 提供 安全 保障 的 协议 。 此 外 ， 
IPSec 也 允许 提供 逐个 数据 流 或 者 逐个 连接 的 安全 ,所 以 能 实现 非常 细致 的 安全 控制 。 

IPSec, 作 为 网 络 层 上 唯一 使 用 的 标准 安全 协议 ,在 这 里 只 是 对 其 进行 比较 简单 的 介 
绍 ,详细 的 内 容 将 在 第 2.4 节 中 作 进 一 步 的 阐述 。 


2.3.5 数据 链 路 层 


假定 两 个 主机 或 路 由 器 之 间 存 在 一 条 专用 通信 和 链 路 ,而 且 为 避免 有 人 “窥视 ”, 所 有 通 
信 都 需 加 密 ,可 用 硬件 设备 来 进行 数据 加 密 。 

这 样 做 最 大 的 好 处 在 于 速度 。 然 而 ,该 方案 不 易 扩 展 , 而 且 仅 在 专用 链 路 上 才能 很 好 
地 工作 。 另 外 ,进行 通信 的 两 个 实体 必须 在 物理 上 连接 到 一 起 。 

这 种 安全 模型 在 自动 柜员 机 (ATM) 上 得 到 了 广泛 的 应 用 。 所 有 机 器 均 通过 专用 
线路 连接 到 中 心 办 公 室 。 假 如 ATM 连接 到 一 个 IP 网 络 , 而 不 是 采用 专用 的 安全 链 
路 ,那么 数据 链 路 层 的 安全 并 不 足以 保证 通信 的 安全 ,必须 向 上 移动 一 层 , 以 提供 安全 
服务 。 

下 面 简单 介绍 几 种 运行 于 数据 链 路 层 上 的 安全 协议 : 

(1) PPTP(point to point tunneling protocol) ,是 以 IP 协议 封装 PPP 帧 ,通过 在 IP 
网 上 建立 隧道 来 透明 传送 PPP 帧 的 隧道 协议 。 通 过 该 协议 .远程 用 户 能 够 通过 
Microsoft Windows NT 工作 站 和 装 有 点 对 点 协议 的 系统 安全 访问 公司 网 络 ; 并 能 拨号 
连 入 本 地 ISP, 通 过 Internet 安全 链接 到 公司 网 络 。 

(2) L2F(layer2 forwarding) ,是 一 种 允许 高 层 协议 的 链 路 层 隧道 技术 ,用 于 建立 跨 
越 公共 网 络 ( 如 因特网 ) 的 安全 隧道 来 将 ISP POP 连接 到 企业 内 部 网 关 。 

(3) L2TP(layer2 tunneling protocol) ,是 把 链 路 层 PPP 帧 封装 在 公共 网 络 设施 如 
IP、ATM、 帧 中 继 中 进行 隧道 传输 的 封装 协议 , 它 结 合 了 PPTP 和 L2F 的 优点 ,可 以 使 用 
户 从 客户 端 或 访问 服务 器 端 发 起 VPN 连接 。 


2.4 网 络 层 的 安全 协议 IPSec 


Internet 网 络 的 重要 特点 是 以 IP 协议 作为 其 网 络 层 的 唯一 标准 协议 ,任何 借助 
Internet 网 络 的 通信 ,在 网 络 层 都 必须 使 用 IP 协议 。 因 此 ,如 果 能 够 保证 IP 层 的 安全 ， 
那么 ,在 很 大 程度 上 就 保证 了 IP 网 上 的 通信 和 安全 ,这 便 是 IETF (Internet Engineering 
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Task Force) 网 络 安全 组 制定 IPSec 安全 协议 的 基本 思路 。 而 IP 安全 协议 正 是 解决 IP 通 
信安 全 的 一 个 可 行 的 解决 方案 。 

因为 IP 包 本 身 并 不 继承 任何 安全 特性 ,很 容易 便 可 伪造 出 IP 包 的 地 址 、 修 改 其 内 
容 .重播 以 前 的 包 以 及 在 传输 途中 拦截 并 查看 包 的 内 容 。 因 此 ,我 们 不 能 担保 收 到 的 IP 
数据 报 下 述 情况 是 否 成 立 : 

(1) 来 自 原先 要 求 的 发 送 方 (IP 头 内 的 源 地 址 )。 

(2) 包含 的 是 发 送 方 当初 放 在 其 中 的 原始 数据 。 

(3) 原始 数据 在 传输 途中 未 被 其 他 人 看 过 。 

针对 这 些 问题 ,IPSec 可 有 效 地 保护 IP 数据 报 的 安全 。 它 采取 的 具体 保护 形式 包 
括 : 数据 起 源 地 验证 ; 无 连接 数据 的 完整 性 验证 ; 数据 内 容 的 机 密 性 (是 否 被 别人 看 过 ); 
抗 重播 保护 以 及 有 限 的 数据 流 机 密 性 保证 。 

IPSec 是 IETF IPSec 工作 组 以 RFC 形式 公布 的 一 组 安全 IP 协议 集 , 是 在 IP 包 级 为 
IP 业务 提供 保护 的 安全 协议 标准 ,其 基本 目的 是 把 密码 学 的 安全 机 制 引 入 IP 协议 ,通过 
使 用 现代 密码 学 方法 支持 保密 和 认证 服务 ,使 用 户 能 有 选择 地 使 用 ,并 得 到 所 期 望 的 安全 
服务 。IPSec 是 随 着 IPv6 的 制定 而 产生 的 ,鉴于 IPv4 的 应 用 仍然 很 广泛 ,所 以 后 来 在 
IPSec 的 制定 中 也 增加 了 对 IPv4 的 支持 。IPSec 在 IPv6 中 是 必须 支持 的 ,而 在 IPv4 中 
是 可 选 的 。IPSec 是 一 个 网 络 安 全 协议 工业 标准 , 它 主要 由 3 个 基本 部 分 组 成 : 认证 头 部 
Aii authentication header) 封装 安全 净 荷 ESP (encapsulating security payload) LA 
钥 交 换 (IKE) 。 


2.4.1 IPSec 的 体系 结构 


IPSec 将 几 种 安全 技术 结合 形成 一 个 完整 的 安全 体系 . 它 包括 安全 协议 部 分 和 密 钥 
协商 部 分 。 在 协议 描述 上 .IPSec 按照 其 框架 设计 ,主要 用 了 8 个 RFC 文档 来 定义 IPSec 
协议 。 图 2-6 显示 了 IPSec 的 体系 结构 .组件 及 各 组 件 间 的 相互 关系 。 


(1) RFC2401; IPSec 的 体系 文档 。 定 义 了 
_ 安全 体系 结构 

身份 认证 使 用 传输 安全 协议 ESP 或 AH 实现 ， pe E 
包含 了 一般 的 概念 、 安 全 需求 .定义 和 定义 IPSec | 
的 技术 机 制 。 [加 密 算 法 鉴别 算法 

(2) RFC2406: 协议 文档 ESP (encapsulate 1 i 
security payload ,封装 安全 载荷 )。 定 义 了 为 通 pol 
a; ees È i 
信 提 供 机 密 性 ,完整 性 保护 和 抗 重 放 服 务 的 具体 pans re 
实现 方法 ,以 及 ESP KE ESP 实现 中 应 插入 IP T 
头 的 位 置 `ESP REAR 4 FEI BU 
式 以 及 对 进入 分 组 和 外 出 分 组 的 处 理 过 程 等 。 图 2-6 IPSec 的 体系 结构 


(3) RFC2402: 协议 文档 认证 头 (authentication header,AH)。 定 义 了 为 通信 提供 完 
整 性 和 抗 重 放 服务 的 具体 实现 方法 ,以 及 AH 头 在 AH 实现 中 应 插入 IP 头 的 位 置 、AH 
头 的 语法 格式 、 各 字段 的 语义 、 取 值 方 式 以 及 实施 AH 时 对 进入 分 组 和 外 出 分 组 的 处 理 
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(4) RFC2403 和 RFC2404: 认证 算法 。RFC2403 定义 了 对 ESP 的 认证 算法 为 散 列 
函数 MC5 或 SHA AY HMAC 版 本 ,RFC2404 定义 了 默认 情况 下 AH 的 认证 算法 是 MDS 
或 SHA 的 HAMC 版 本 。 

(5) RFC2405: 加 密 算法 。 定 义 了 DES-CBC 作为 ESP 的 加 密 算法 以 及 如 何 实 现 
DES-CBC 算法 和 初始 化 矢量 (CIV) 的 生成 。 

(6) RFC2409: 因特网 密 钥 交换 (Internet key exchange,IKE)。 定 义 了 IPSec 通信 
双方 如 何 动态 建立 共享 安全 参数 和 经 认证 过 的 密 钥 ( 即 建立 安全 关联 ),IKE 的 功能 包 
括 : 加 密 / 鉴 别 算法 和 密 钥 的 协商 、 密 钥 生 成 、 交 换 及 管理 .通信 的 保护 模式 (传输 或 隧道 
模式 ) 、 密 钥 的 生存 期 等 。 

(7) RFC2407;: IPSec 解释 域 (domain of interpretation, DOI), IKE 定义 了 安全 参数 
如 何 协 商 以 及 共享 密 钥 如 何 建立 ,但 没有 定义 协商 内 容 ( 参 数 )。 协 商 内 容 与 IKE 协议 本 
身分 开 实 现 。 协 商 的 内 容 ( 参 数 ) 被 归于 一 个 单独 的 文档 内 ,名 为 IPSec DOT. 

(8) 策略 : 策略 是 两 个 实体 间 通 信 的 规则 , 它 决定 采用 什么 协议 .什么 加 密 算法 和 认 
证 算法 来 通信 ,策略 不 当 可 能 造成 不 能 正常 工作 。 目 前 ,策略 还 没有 统一 标准 。 


2.4.2 安全 关联 和 安全 策略 


1. 安全 关联 CSA) 


安全 关联 (security association ,SA) 是 构成 IPSec 的 基础 ,是 两 个 通信 实体 经 协商 建 
立 起 来 的 一 种 协定 ,它们 决定 了 用 来 保护 数据 包 安 全 的 安全 协议 (AH 协议 或 者 ESP 协 
WO 、 转 码 方式 、 密 钥 及 密 钥 的 有 效 存在 时 间 等 。SA 通过 一 个 三 元 组 唯一 的 标识 。 该 三 
元 组 包括 : 

(1) 安全 参数 索引 (security parameters index, SPI) ,SPI 是 安全 关联 SA 与 IPSec 安 
全 协议 的 唯一 接口 。 安 全 协议 通过 SPI 查找 对 应 的 SA, 并 使 用 SA 中 的 对 应 安全 参数 对 
通信 进行 保护 。 

(2) 源 或 目的 IP 地 址 : 表示 对 方 IP 地 址 。 对 于 外 出 数据 包 , 指 目的 IP 地 址 ; 对 于 
进入 数据 包 , 指 源 IP 地 址 。 

(3) 一 个 特定 的 IPSec 协议 : 采用 AH 协议 或 者 ESP 协议 。 

随 每 个 数据 包 一 道 , 都 要 发 送 一 个 SPI, 以 便 将 SA 独一无二 地 标识 出 来 。SA 是 单 
向 的 ,如 果 两 个 主机 A 和 B 正 在 通过 ESP 进行 安全 通信 , 则 主机 A 需要 一 个 SA(out) 来 
处 理 数 据 报 ,另外 还 需要 一 个 SA(in) 用 来 处 理 进 入 A 的 数据 包 。 

SA 是 通过 像 IKE 这 样 的 密 钥 管理 协议 在 通信 双方 之 间 协 商 的 。 当 一 个 SA 的 协商 
完成 时 ,通信 双方 都 在 它们 的 安全 关联 数据 库 (SAD) 中 存储 该 SA 参数 。 


2. 安全 关联 数据 库 (SAD) 


安全 关联 数据 库 (security association database. SAD) 并 不 是 通常 意义 上 的 “数据 
库 ”, 而 是 将 所 有 的 SA 以 某 种 数据 结构 集中 存储 的 一 个 列表 。 
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SAD 中 包含 现行 的 SA 条目 .每 个 SA 包括 一 个 三 元 组 ,用 于 唯一 地 标识 这 个 SA ,该 
三 元 组 包含 一 个 SPI, 一 个 用 于 输入 处 理 SA 的 源 IP 地 址 , 另 一 个 用 于 输出 处 理 SA 的 目 
AY IP 地址 和 一 特定 的 协议 (例如 AH 或 者 ESP)。 此 外 ,一 个 SAD 条 目 包 含 以 下 的 域 : 
序列 号 计数 器 、 序 列 号 溢出 标志 、 抗 重 放 窗 口 .AH 认证 密码 算法 和 所 需要 的 密 钥 、.ESP 认 
证 密码 算法 和 所 需要 的 密 钥 、ESP 加 密 算 法 、 密 钥 、 初 始 化 向 量 (IV) 和 IV 模式 、IPSec 协 
议 操作 模式 、 路 径 最 大 传输 单元 (PMTU) 和 SA 生存 期 。IPSec 处 理 对 于 输入 和 输出 要 保 
存单 独 的 SAD。 对 于 输入 或 者 输出 通信 ,将 搜索 各 自 的 SAD 来 查找 与 从 数据 包头 域 中 
解析 出 来 的 与 选择 符 相 匹配 的 SPI. 源 或 者 目的 地 址 以 及 IPSec 协议 。 

如 果 找 到 一 个 匹配 的 条 目 , 则 将 该 SA 的 参数 与 AH 或 ESP 头 中 的 适当 域 相 比 较 。 
如 果 头 域 与 SAD 中 的 SA 参数 一 致 ,就 处 理 该 数据 包 。 如 果 有 任何 差别 ,就 丢弃 该 包 。 
如 果 没 有 SA 条目 与 选择 符 相 匹配 ,并且 数据 包 是 一 个 输入 包 ,就 将 它 丢弃 ; 如 果 数 据 包 
是 输出 的 , 则 创建 一 个 新 的 SA 或 者 SA 束 , 并 将 其 存 人 输出 SAD 中 。 


3. 安全 策略 (SP) 


安全 策略 (security policy,SP) 是 IPSec 结构 中 非常 重要 的 组 件 , 它 定义 了 两 个 实体 
之 间 的 安全 通信 。 指 示 是 否 对 IP 数据 包 进 行 安全 保护 ,以 及 使 用 什么 样 的 安全 保护 。 
SP 主要 根据 源 IP 地 址 、 目 的 IP 地址 、 输 入 数据 还 是 输出 数据 等 来 标识 。 

IPSec 还 定义 了 用 户 能 以 何 种 粒度 来 设 定 自 己 的 安全 策略 ,由 “选择 符 ” 来 控制 粒度 
的 大 小 ,不 仅 可 以 控制 到 IP 地 址 ,还 可 以 控制 到 传输 层 或 者 TCP/UDP 端口 等 。 


4. 安全 策略 数据 库 


安全 策略 数据 库 (security policy database,SPD) 也 不 是 通常 意义 上 的 “数据 库 ”, 而 是 
将 所 有 的 SP 以 某 种 数据 结构 集中 存储 的 一 个 列表 。 

通常 ,IPSec 协议 要 求 在 所 有 数据 包 ( 通 信 流 ) 进 行 处 理 的 过 程 中 都 必须 查询 SPD, AS 
管 是 输入 的 还 是 输出 的 。SPD 中 包含 一 个 策略 条 目的 有 序列 表 。 通 过 使 用 一 个 或 者 多 
个 选择 项 来 确定 每 一 个 条 目 。IPSec 当前 允许 的 选择 项 有 : 目的 IP 地 址 、 源 IP 地 址 、 传 
输 层 协议 、 系 统 名 和 用 户 ID. SPD 中 的 每 一 个 条 目 都 包含 一 个 或 者 多 个 选择 符 和 一 个 标 
志 , 该 标志 用 于 表明 与 条 目 中 的 选择 符 匹配 的 数据 包 是 应 该 丢弃 、 绕 过 还 是 进行 IPSec 处 
理 。 如 果 应 该 对 数据 包 进行 IPSec 处 理 , 则 条 目 中 必须 包含 一 个 指向 SA 内 容 的 指针 ,其 
中 详细 说 明了 应 用 于 匹配 该 策略 条 目的 数据 包 的 IPSec 协议 .操作 模式 以 及 密码 算法 。 


2.4.3 IPSec 协议 的 运行 模式 


1. IPSec 隧道 模式 


这 种 模式 的 特点 是 数据 包 最 终 目的 地 不 是 安全 终点 。 通 常情 况 下 ,只 要 IPSec 双方 
有 一 方 是 安全 网 关 或 路 由 器 ,就 必须 使 用 隧道 模式 。 在 隧道 模式 中 ,IPSec 对 整个 IP 包 
进行 封装 保护 ,并 增加 一 个 新 的 外 部 IP 头 , 同 时 在 外 部 与 内 部 IP 头 之 间 搬 人 一 个 IPSec 
头 , 如 图 2-7 所 示 。 
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2. IPSec 传输 模式 


传输 模式 下 ,IPSec 主要 对 上 层 协议 即 卫 包 的 载荷 进行 封装 保护 ,通常 情况 下 ,传输 
模式 只 用 于 两 台 主 机 之 间 的 安全 通信 。 在 传输 模式 中 , 原 IP 头 保持 不 变 ,IP 头 与 上 层 协 
议 之 间 需 要 插入 一 个 特殊 的 IPSec 头 , 如 图 2-7 所 示 。 


原始 IP 数 据 包 


原 IP 头 载荷 


隧道 模式 下 受 IPSec 保护 的 趾 数据 包 


新 IP 头 IPSec. 原 IP 头 载荷 


传输 模式 下 受 IPSec 保 护 的 IP 数 据 包 
原 IP 头 IPSec 头 载荷 


图 2-7 隧道 模式 和 传输 模式 下 受 IPSec 保护 的 数据 包 格 式 


2.4.4 AH 协议 


设计 AH 认证 协议 的 目的 是 用 来 增加 IP 数据 报 的 安全 性 。AH 协议 提供 无 连接 的 
完整 性 .数据 源 认 证 和 抗 重 放 保 护 服务 ,但 是 ,AH 不 提供 任何 保密 性 服务 。AH 的 作用 
是 为 IP 数据 流 提供 高 强度 的 密码 认证 ,以 确保 被 修改 过 的 数据 包 可 以 被 检查 出 来 。AH 
用 带 密 钥 的 HMAC 算法 和 和 迭代 型 杂凑 本 数 (如 MD5、SHA-1) 结 合 使 用 ,而 不 用 对 杂凑 本 
数 进行 修改 。 

2.4.4.1 认证 头 格 式 


AH 由 5 个 固定 长 度 域 和 1 个 变 长 的 认证 数据 域 组 成 。 图 2-8 说 明了 这 些 域 在 AH 
中 的 位 置 。 


0 7 15 31 
F 一 个 头 [载荷 长 度 保留 
安全 参数 索引 (SPD 
序列 号 域 
一 认证 数据 ( 变 长 ) SA 


图 2-8 IPSec 认证 头 的 格式 
图 2-8 中 有 关 域 的 描述 如 下 。 


(1) 下 一 个 头 Cnext header): 这 个 8 比特 的 域 指 出 AH 后 的 下 一 载荷 的 类 型 。 例 
如 ,如 果 AH 后 面 是 一 个 ESP 载荷 ,这 个 域 将 包含 值 50。 


(2) 载荷 长 度 (payload length): 这 个 8 比特 的 域 包含 以 32 比特 为 单位 的 AH 的 长 
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度 减 2。 为 什么 减 2 呢 ? AH 实际 上 是 一 个 IPv6 扩展 头 ,IPv6 规范 RFC1883 规定 计算 
扩展 头 长 度 时 应 首先 从 头 长 度 中 减 去 一 个 64 比特 的 字 。 由 于 载荷 长 度 单位 用 32 比特 度 
量 , 两 个 32 比特 字 也 就 相当 于 一 个 64 比特 字 , 因 此 要 从 总 认证 头 长 度 中 减 去 2。 

(3) 保留 (reserved) : 这 个 16 比特 的 保留 域 供 将 来 使 用 。AH 规范 RFC2402 规定 这 
个 域 被 置 为 0。 

(4) 安全 参数 索引 (SPI) : SPI 是 一 个 32 比特 的 整数 ,用 于 和 源 地 址 或 目的 地 址 以 及 
IPSec 协议 (AH 或 ESP) 共 同 唯 一 标识 一 个 数据 报 所 属 的 数据 流 的 安全 关联 (SA)。 关 于 
SPI 域 的 整数 值 ,1 一 255 被 IANA 留 做 将 来 使 用 ; 0 被 保留 ,用 于 本 地 和 具体 实现 。 所 
以 ,目前 有 效 的 SPI 值 从 256~ (2% 一 1)。 

(5) 序列 号 (sequence number) : 这 个 域 包含 一 个 作为 单调 增加 计数 器 的 32 位 无 符 
号 整数 。 当 SA 建立 时 ,发送 者 和 接收 者 的 序列 号 值 均 被 初始 化 为 0。 通 信 双 方 使 用 一 个 
特定 的 SA 发 出 一 个 数据 报 就 将 它们 的 相应 序列 号 加 1。 序 列 号 用 来 防止 对 数据 包 的 重 
放 , 采 用 滑动 接收 窗口 机 制 检测 重 放 包 。 重 放 是 指数 据 包 被 攻击 者 截取 并 重新 传送 。 

(6) 认证 数据 : 这 个 变 长 域 包含 数据 包 的 认证 数据 ,该 认证 数据 被 称 为 数据 包 的 完 
整 性 校 验 值 (ICV)。 对 于 IPv4 数据 包 , 这 个 域 的 长 度 必须 是 32 的 整数 倍 ; 对 于 IPv6 数 
据 包 ,这 个 域 的 长 度 必 须 是 64 的 整数 倍 。 用 来 生成 ICV 的 算法 由 SA 指定 。 为 了 保证 互 
操作 性 ,AH 强制 所 有 的 IPSec 实现 必须 包含 两 个 认证 算法 : HMAC-MD5-96 和 HMAC- 
SHA-1-96。 如 果 一 个 IPv4 数据 包 的 ICV 域 的 长 度 不 是 32 的 整数 倍 , 或 一 个 IPv6 数据 
包 的 ICV 域 的 长 度 不 是 64 的 整数 倍 , 必 须 添 加 填充 比特 使 ICV 域 的 长 度 达到 所 需要 的 
长 度 。 

2.4.4.2 AH 的 操作 模式 


按照 AH 协议 的 规定 ,可 以 按 AH 封装 的 协议 数据 不 同 , 将 AH 封装 分 为 两 种 模式 : 
传输 模式 和 隧道 模式 ,AH 头 的 位 置 依赖 于 AH 的 操作 模式 。 使 用 隧道 模式 时 ,AH 可 以 
以 一 种 符 套 方式 使 用 .也 可 以 和 ESP 组 合 使 用 或 单独 使 用 。 

1. AH 传输 模式 


在 传输 模式 中 ,AH 被 插 在 IP 头 之 后 但 在 所 有 的 传输 层 协 议 之 前 ,或 所 有 其 他 IPSec 
协议 头 之 前 。 图 2-9 说 明了 在 传输 模式 中 的 AH 封装 格式 。 


IP 头 | TCP/UDP 头 | DATA 


IPS. AH 头 TCP/UDP 头 DATA 


图 2-9 传输 模式 下 AH 的 封装 


与 ESP 认证 范围 不 同 ,AH 认证 整个 IP 数据 报 , 包 括 IP 包头 部 ,因此 , 源 IP 地 址 、 目 
的 IP 地 址 是 不 能 修改 的 ,否则 会 被 检测 出 来 。 所 以 .AH 用 于 传输 模式 有 其 局 限 性 。 例 
如 一 个 内 部 网 中 的 主机 A 有 一 个 私有 IP 地 址 (私有 地 址 在 公 网 上 是 不 可 路 由 的 ), 通 过 
Internet 与 另 一 台 主 机 B 进行 通信 ,要 求 通 过 AH 传输 模式 进行 数据 完整 性 保护 。 主 机 
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A 的 数据 流 在 离开 源 网 络 与 位 于 它们 所 在 网 络 之 外 的 主机 B 进行 通信 前 ,需要 经 过 一 个 
网 络 地 址 转换 (NAT) 网 关 ,NAT 将 流出 的 数据 包 的 源 地 址 域 的 科 有 IP 地 址 蔡 换 为 指定 
的 公 网 IP 地 址 ,并 将 数据 包 转 发 给 指定 的 目的 地 址 。 这 样 ,主机 B 计算 出 来 的 完整 性 校 
验 值 将 和 主机 A 计算 出 来 的 不 同 ,因为 NAT 网 关 修 改 了 数据 包 的 源 地 址 域 。AH 完整 

如 果 和 希望 为 上 面 的 例子 提供 AH 传输 模式 认证 ,认证 需要 在 网 关上 进行 。 但 这 个 解 
决 方案 对 数据 流 提供 的 保护 是 不 完整 的 : 主机 到 网 关 和 网 关 到 主机 之 间 的 数据 流 没有 受 
到 保护 。 我 们 可 以 采用 ESP 提供 额外 的 安全 性 。 


2. AH 隧道 模式 


在 隧道 模式 中 ,AH 插 在 原始 的 IP 头 之 前 ,另外 生成 一 个 新 的 IP 头 放 在 AH 之 前 。 
图 2-10 说 明了 在 隧道 模式 中 的 AH 封装 格式 。 


IP 头 TCP/UDP 头 DATA 


新 IP 头 AH 头 原 IP 头 TCP/UDP; DATA 


图 2-10 隧道 模式 下 AH 的 封装 


同 在 传输 模式 下 一 样 ,AH 验证 整个 IP 数据 报 , 包 括 新 的 IP 头 , 前 面 讨 论 过 AH 在 
传输 模式 下 的 局 限 性 在 隧道 模式 下 同样 存在 。 如 果 和 希望 对 位 于 安全 网 关 后 或 在 NAT 环 
境 中 的 通信 双方 进行 AH 隧道 模式 认证 的 话 ,那么 验证 应 该 在 网 关 而 不 是 在 通信 主机 上 
进行 。 

2.4.4.3 对 数据 包 的 AH 处 理 


1. 对 输出 数据 包 的 处 理 


(1) 查找 对 应 的 SA。 根 据 待 处 理 的 数据 包 , 构 造 出 选择 符 ( 源 IP 地 址 .目的 IP 地 
址 、 协 议 号 .通信 端口 ) ,并 以 此 选择 符 为 索引 检查 SPD。 假 如 按 检索 到 的 SPD 条 目 , 该 分 
组 应 受到 AH 保护 , 则 按 SPD 条 目 直接 指向 的 SA 条 目 找到 用 以 处 理 数据 的 SA。 如 果 
SPD 指向 的 SA 为 空 , 则 采用 IKE 协议 协商 新 的 SA. 

(2) FX SA 条 目 给 出 的 处 理 模式 ,在 适当 的 地 方 插入 AH 头 和 外 部 IP 头 。 在 传输 模 
式 的 AH 实现 中 , 待 添加 的 IP 头 为 原 IP 头 ; 对 于 隧道 模式 ,将 重新 构造 新 的 IP 头 , 添 加 
到 AH 载荷 前 面 。 

G) 对 AH 载荷 的 相应 字段 进行 填充 。 下 一 载荷 头 来 源 于 原 TP 头 的 协议 字段 (对 传 
输 模 式 ) 或 为 4( 对 隧道 模式 ,表示 IP 协议 头 ); 载荷 长 度 字 段 值 将 AH 载荷 的 总 字数 (每 
字 32 位 ) 减 2; 保留 字段 填充 0; 安全 参数 索引 SA AA; 序列 号 来 源 于 IPSec 处 理 的 发 
送 端 SA 计数 器 ; 验证 字段 的 值 根据 SA 中 指定 的 认证 算法 对 载荷 数据 进行 散 列 计算 得 
到 。 需 要 注意 的 是 ,在 计算 验证 字段 时 .应 把 可 能 在 传输 过 程 中 改变 的 值 ,或 不 可 能 知道 
到 达 隧 道 对 端 时 的 预期 值 .都 应 先 置 0。 
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(4) 对 AH 处 理 后 的 数据 包 ,重新 计算 IP 头 校 验 和 。 如 果 处 理 后 的 数据 包 的 长 度 大 
于 本 地 MTU, 则 进行 IP 分 段 。 处 理 完 毕 的 IPSec 分 组 被 交 给 数据 链 路 层 ( 对 传输 模式 ) 
或 IP 层 ( 对 隧道 模式 ) 重 新 路 由 。 


2. 对 输入 数据 包 的 处 理 


(1) 数据 包 重 组 : 对 于 收 到 的 数据 包 , 查 看 一 下 是 否 是 一 个 完整 的 受 AH 保护 的 数 
据 包 ,如 果 得 到 的 数据 包 仅 是 一 个 IP 包 的 分 段 , 则 必须 保留 这 个 分 段 , 直 到 收 到 属于 该 数 
据 包 的 所 有 分 段 ,并 成 功 重 组 之 后 ,再 进行 后 续 处 理 。 

(2) 查找 SA( 目 的 IP 地址、 协议 号 SPD: 三 元 组 一 般 被 称 为 SAID, 即 该 三 元 组 被 用 
于 标识 一 个 SA。 由 待 处 理 的 IPSec 数据 包 提 取 SAID, 利 用 它 作为 索引 对 SADB 进行 检 
索 , 找 到 相应 的 处 理 该 数据 包 的 SA。 如 果 没 有 找到 , 则 丢弃 该 数据 包 , 并 将 此 事件 记录 
于 日 志 中 。 

(3) 序列 号 检查 : 如 果 此 数据 包 的 序列 号 落 在 该 活动 SA 的 滑动 窗口 内 , 且 不 是 一 
重复 收 到 的 数据 包 , 则 表明 此 数据 包 是 有 效 的 ,继续 后 续 处 理 ; 否则 丢弃 该 数据 包 , 并 将 
此 事件 记录 于 日 志 中 。 

(A) 检查 ICV 字段 的 值 : 首先 将 AH 头 中 的 ICV 字段 保存 下 来 ,然后 将 这 个 字段 清 
零 , 按 鉴别 算法 和 鉴别 密 钥 ,与 发 送 端 相同 的 计算 方式 计算 一 个 散 列 输出 。 该 散 列 输出 与 
保存 的 ICV 相 比 较 , 如 果 相 同 , 则 通过 完整 性 检查 ; 否则 ,丢弃 该 数据 包 , 并 将 此 事件 记录 
于 日 志 中 。 

(5) 重 构 明 文 数据 包 : 对 传输 模式 的 AH 封装 而 言 , 将 AH 载荷 的 “下 一 载荷 头 ” 字 
BHEIRT IP 头 的 协议 字段 ; 去 除 AH 封装 ( 即 去 掉包 括 SPI、 序 列 号 、 填 充 、 填 充 长 度 、 下 
一 载荷 头 以 及 ICV 字段 ) ,对 得 到 的 IP 数据 包 重 新 计算 UP 头 校 验 和 。 对 于 隧道 模式 的 
AH 封装 ,内 部 IP 头 即 是 原 IP 头 。 因 此 ,恢复 处 理 只 需要 去 掉 外 部 IP SELAH 头 , 便 可 
得 到 原 明 文 IP 数据 包 。 

(6) 对 处 理 的 合法 性 检查 : ICV 校 验 完成 后 .应 将 该 数据 包 的 保护 方式 与 SA 指向 的 
SPD 条 目的 安全 策略 相 比较 ,以 检验 安全 实施 的 一 致 性 。 若 相符 , 则 继续 后 续 处 理 ; 否则 
丢弃 该 数据 包 , 并 将 此 事件 记录 于 日 志 中 。 


2.4.5 ESP 协议 


封装 安全 载荷 (ESP) 用 于 提高 Internet 协议 (IP 协议 ) 的 安全 性 。 它 可 为 IP 提供 机 
密 性 ` 数 据 源 验证 、 抗 重 放 以 及 数据 完整 性 等 安全 服务 。ESP 中 用 来 加 密 数 据 的 密码 算 
法 都 毫 无 例外 地 使 用 对 称 密码 体制 。 协 议 规定 随 ESP 使 用 的 所 有 加 密 算法 必须 以 “加 密 
块 链接 (CBC) ”模式 工作 。 


2.4.5.1 ESP 数据 包 格 式 


ESP 数据 包 由 4 个 固定 长 度 的 域 和 3 个 变 长 域 组 成 。 这 个 协议 的 包 格 式 如 图 2-11 
所 示 。 


图 2-11 中 有 关 域 的 描述 如 下 : 
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0 15 23 31 
32 比 特 安全 参数 索引 (SPD 
ESP 
32 比 特 序列 号 
变 长 数据 载荷 = 

— = 
@) | on ass eae 
R 

ake 变 长 认证 数据 ICV) | ESP 尾 


图 2-11 ESP 数据 包 格 式 


(1) 安全 参数 索引 (SPD : 这 个 域 和 AH 的 SPI 类 似 。 

(2) 序列 号 (sequence number): 和 AH 的 情况 类 似 。 

(3) 载荷 数据 (payload data): 这 是 一 个 变 长 域 。 如 果 使 用 保密 服务 ,其 中 就 包含 实 
际 的 载荷 数据 ( 即 数 据 报 加 密 部 分 的 密 文 ) 。 这 个 域 是 必须 有 的 ,不 管 涉及 的 SA 是 否 需 
要 保密 服务 。 如 果 采 用 的 加 密 算法 需要 初始 化 向 量 (IV) , 它 将 在 载荷 域 中 传输 ,并 且 算 
法 的 规范 要 指明 IV 的 长 度 和 它 在 载荷 数据 域 中 的 位 置 。 载 荷 数据 域 的 长 度 以 比特 为 单 
位 并 且 必 须 是 8 的 整数 倍 。 

(4) 填充 (padding): 如 果 有 的 话 ,这 个 域 包含 填充 比特 ,由 加 密 算 法 使 用 或 用 于 使 填 
充 长 度 域 和 4 字 节 字 中 的 第 3 个 字 节 对 齐 ( 见 图 2-11 所 示 )。 这 个 域 的 有 效 值 是 0 一 255 
之 间 的 整数 。 

(5) 填充 长 度 (pad length): 填充 长 度 是 一 个 8 比特 的 域 .这 个 值 是 必需 的 ,表明 填充 
域 中 填充 比特 的 长 度 。 这 个 域 的 有 效 值 是 0 一 255 之 间 的 整数 。 

(6) 下 一 个 头 Cnext header): 这 个 8 比特 的 域 表 明和 载荷 中 封装 的 数据 类 型 。 可 能 是 
一 个 IPv6 扩展 头 或 传输 层 协议 。 例 如 , 值 6 表明 载荷 中 封装 的 是 TCP 数据 。 

(7) 认证 数据 (authentication data): 这 个 变 长 域 中 存放 完整 性 检查 值 (ICV) ,如 图 2-11 
所 示 。 它 是 对 除 认证 数据 域外 的 ESP 包 进 行 计 算 获 得 的 。 这 个 域 的 实际 长 度 取决 于 使 
用 的 认证 算法 。 例 如 ,如 果 使 用 HMAC-MD5 则 认证 数据 域 是 128 比特 ; 如 果 取 其 前 96 
位 , 则 认证 数据 域 是 96 比特 。 认 证 数据 域 是 可 选 的 , 仅 当 指定 的 SA 要 求 ESP 认证 服务 
时 才 包 含 它 。 


2.4.5.2 ESP 的 操作 模式 


Al AH 的 情况 一 样 ,ESP 在 数据 包 中 的 位 置 取决 于 ESP 的 操作 模式 。ESP 共有 两 种 
操作 模式 : 传输 模式 和 隧道 模式 。 


1. 传输 模式 
在 传输 模式 下 ,ESP 被 插 在 IP 头 和 所 有 的 选项 之 后 ,但 是 在 传输 层 协议 之 前 ,或 者 在 
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已 应 用 的 任意 IPSec 协议 之 前 。 图 2-12 说 明了 在 传输 模式 中 的 ESP 封装 格式 。 


IP 头 TCP/UDP 头 DATA 


IP 头 ESP 头 | TCP/UDP. DATA 


图 2-12 传输 模式 下 的 ESP 封装 格式 


传输 ESP 认证 服务 与 AH 不 同 ,ESP 不 对 整个 IP 数据 包 进 行 认证 ,所 以 ,在 传输 模 
式 下 ESP RŽ AH 传输 模式 下 的 局 限 性 约束 。 使 用 私有 IP 地 址 (通过 Internet) 或 位 于 
安全 网 关 之 后 的 主机 间 的 通信 可 被 ESP 认证 服务 保护 ,因为 IJP 头 中 的 源 和 目的 以 及 其 
他 域 未 被 认证 。 

ESP 提供 的 这 种 灵活 性 也 显示 出 了 它 的 弱点 : 首先 ,ESP 传输 模式 认证 服务 提供 的 
安全 性 不 如 AH 传输 模式 。 因 为 除了 ESP 头 部 外 ,在 从 源 到 目的 的 传输 过 程 中 IP 头 的 
任何 域 都 可 以 被 修改 ,如 果 修 改 后 头 部 校 验 和 计算 正确 ,目的 主机 将 无 法 检测 到 发 生 的 修 
改 。 其 次 ,在 传输 模式 下 的 ESP 不 提供 数据 流 保密 服务 ,因为 源 和 目的 IP 地 址 未 被 
加 密 。 


2. 隧道 模式 


在 隧道 模式 下 ,ESP 被 插 在 原始 IP 头 之 前 ,并 且 生 成 一 个 新 的 IP 将 其 捅 在 ESP 之 
前 。 内 部 IP 头 中 包括 真正 的 源 地 址 和 最 终 的 目的 地 址 。 外 部 的 源 和 目的 IP 头 域 分 别 包 
含 源 及 目的 节点 的 安全 网 关 的 地 址 。 图 2-13 说 明了 在 隧道 模式 中 的 ESP 封装 格式 。 


IP 头 TCP/UDP DATA 


新 IP 头 ESP, 原 IP 头 TCP/UDP DATA 


图 2-13 ”隧道 模式 下 的 ESP 封装 格式 


隧道 模式 的 认证 和 保密 服务 要 对 整个 内 部 IP 头 进行 认证 和 加 密 。 而 外 部 头 既 未 被 
认证 也 未 被 加 密 , 它 未 被 加 密 是 因为 路 由 器 需要 其 中 的 信息 对 数据 包 进 行路 由 导向 ; 未 
被 认证 是 因为 如 果 认 证 的 话 会 导致 像 AH 认证 服务 的 局 限 性 。 


2.4.5.3 对 数据 包 的 ESP 处 理 


1. 对 输出 数据 包 的 处 理 


(1) 查找 对 应 的 SA: 根据 待 处 理 的 数据 包 ,构造 出 选择 符 ( 源 IP 地址、 目的 IP 地 址 、 
协议 号 .通信 端口 ) .并 以 此 选择 符 为 索引 检查 SPD。 假 如 按 检索 到 的 SPD 条 目 , 该 分 组 
应 受到 AH 保护 , 则 按 SPD 条 目 直接 指向 的 SA 条 目 找到 用 以 处 理 数据 的 SA。 如 果 
SPD 指向 的 SA 为 空 , 则 采用 IKE 协议 协商 新 的 SA。 

(2) 构造 ESP 载荷 : 在 传输 模式 下 ,IP 头 的 协议 字段 被 复制 到 ESP 头 的 下 一 载荷 字 
段 ; SPI 字 段 来 源 于 用 来 对 此 数据 包 进 行 处 理 的 SA 的 SPI 标识 符 值 ; 序列 号 为 SA 计数 
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器 的 下 一 取 值 : 按 DOT 的 描述 规则 计算 的 初始 向 量 被 填 人 ESP 载荷 数据 的 起 始 部 分 (如 
果 需 要 ); 原 IP 数据 包 除 去 IP 头 或 其 他 的 扩展 头 后 的 部 分 紧 接 初始 向 量 被 填 人 载荷 数 
据 ; 依据 载荷 长 度 , 按 相应 的 填充 规则 ,对 载荷 数据 进行 填充 ; 填充 的 长 度 被 填 入 填充 长 
度 字 段 。 在 隧道 模式 下 ,ESP 头 被 加 入 到 原 IP 头 之 前 ,对 SPI、 序 列 号 .初始 向 量 有 与 传 
输 模式 相同 的 填充 方式 ; 初始 向 量 之 后 紧 随 整 个 原 IP 数据 包 ; 填充 .填充 长 度 字段 也 与 
传输 模式 的 填充 方式 一 致 ; 下 一 载荷 头 的 取 值 则 依据 IANA 在 “已 分 配 协议 号 ”中 的 IP 
协议 号 集 的 规定 ,如 果 取 值 为 4, 则 表明 ESP 封装 的 是 IPv4 数据 包 ; 如 果 取 值 为 41, 则 表 
明 ESP 封装 的 是 IPv6 分 组 。 

G) 为 ESP 载荷 添加 IP 头 : 在 传输 模式 的 ESP 实现 中 , 待 添加 的 IP 头 为 原 IP 头 ; 
对 于 隧道 模式 ,将 重新 构造 新 的 IP 头 ,添加 到 ESP 载荷 前 面 。 

(A) 对 ESP 载荷 进行 加 密 及 鉴别 处 理 : SA 的 处 理 要 求 ,如 果 协 商 时 要 求 了 加 密 保 
护 , 则 利用 适当 的 加 密 算 法 和 加 密 密 钥 (都 由 SA 给 出 ), 对 起 于 初始 向 量 之 后 、 止 于 下 一 
载荷 头 字 段 之 间 的 数据 进行 加 密 处 理 , 并 以 输出 的 密 文 代替 原 明 文部 分 ;: 如 果 还 启动 了 
鉴别 功能 , 则 利用 SA 中 给 出 的 鉴别 算法 和 鉴别 密 钥 对 整个 ESP 载荷 ( 自 ESP 头 开 始 , 包 
括 密 文部 分 ,一 直到 ESP 尾 , 包 括 全 部 置 0 的 ICV 字段 在 内 ) 进 行 散 列 计算 ,并 将 结果 填 
A ESP 的 ICV 字段 。 

(5) 其 他 处 理 : 对 输出 数据 包 重 新 计算 外 部 IP 头 的 校 验 和 。 如 果 封 装 后 的 IP 分 组 
的 长 度 超过 本 地 的 MTU, 则 应 对 其 进行 分 段 处 理 。 


2. 对 输入 数据 包 的 处 理 


A) 数据 包 重 组 : 对 于 收 到 的 数据 包 , 查 看 一 下 是 否 是 一 个 完整 的 受 ESP 保护 的 数 
据 包 ,如 果 得 到 的 数据 包 仅 是 一 个 IP 包 的 分 段 , 则 必须 保留 这 个 分 段 , 直 到 收 到 属于 该 数 
据 包 的 所 有 分 段 ,并 成 功 重组 之 后 ,再 进行 后 续 处 理 。 

(2) 由 待 处 理 的 IPSec 数据 包 提取 SAID( 即 目的 IP 地址、 协议 号 SPD. 利用 它 作为 
索引 对 SAD 进行 检索 ,找到 相应 的 处 理 该 数据 包 的 SA。 如 果 没 有 找到 , 则 丢弃 该 数据 
包 , 并 将 此 事件 记录 于 日 志 中 。 

G) 序列 号 检查 : 如 果 此 数据 包 的 序列 号 落 在 该 活动 SA 的 滑动 窗口 内 , 且 不 是 一 个 
重复 收 到 的 数据 包 , 则 表明 此 数据 包 是 有 效 的 ,继续 后 续 处 理 ; 否则 丢弃 该 数据 包 , 并 将 
此 事件 记录 于 日 志 中 。 

(4) 完整 性 检验 : 对 整个 ESP 载荷 进行 ICV 重 构 ,计算 方法 与 发 送 端 完 全 相同 。 鉴 
别 密 钥 来 源 于 检索 到 的 SA。 本 地 计算 出 来 的 ICV 与 收 到 的 数据 包 中 的 ICV 进行 一 致 性 
比较 , 若 一 致 ,该 数据 包 通 过 完整 性 检验 ,进入 下 一 步 处理 ; 否则 丢弃 该 数据 包 , 并 将 此 事 
件 记 录 于 日 志 中 。 

(5) 数据 包 解 密 : 利用 SA 中 提供 的 密码 算法 和 解密 密 钥 ,对 ESP 载荷 的 数据 部 分 
进行 解密 , 受 解 密 处 理 的 范围 包括 初始 向 量 之 后 .直到 下 一 载荷 的 全 部 数据 。 若 解密 成 
功 , 则 继续 后 续 处 理 ; 否则 丢弃 该 数据 包 , 并 将 此 事件 记录 于 日 志 中 。 

(6) 重 构 明文 数据 包 : 对 传输 模式 的 ESP 封装 而 言 ,将 ESP 载荷 的 * 下 一 载荷 头 ” 字 
段 值 赋予 IP 头 的 协议 字段 ; 去 除 ESP 封装 ( 即 去 掉包 括 SPI、 序 列 号 .IV、 填 充 、 填 充 长 
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度 、 下 一 载荷 头 以 及 ICV 字段 ); 对 得 到 的 IP 数据 包 重 新 计算 IP 头 校 验 和 。 对 于 隧道 模 
stay ESP 封装 ,内 部 IP 头 即 是 原 IP 头 。 因 此 ,恢复 处 理 只 需要 去 掉 外 部 IP k, ESP 头 、 
ESP 尾 , 便 可 得 到 原 明 文 IP 数据 包 。 

(7) 对 处 理 的 合法 性 检查 : 完整 性 检查 与 解密 完成 后 ,应 将 该 数据 包 的 保护 方式 与 
SA 指向 的 SPD 条 目的 安全 策略 相 比 较 , 以 检验 安全 实施 的 一 致 性 。 


2.4.6 Internet 密 钥 交换 协议 


Internet 密 钥 交换 协议 (Internet key exchange,IKE) 是 IPSec 默认 的 安全 密 钥 协商 
方法 。IKE 通过 一 系列 报 文 交换 为 两 个 实体 (如 网 络 终 端 或 网 关 ) 进 行 安全 通信 派生 会 
话 密 钥 。 这 些 交 换 为 一 些 报 文 提 供 加 密 或 认证 保护 ,以 及 不 同 程度 的 防 泛 滥 、 重 放 和 欺骗 
等 攻击 。IKE 主要 依赖 于 很 强 的 安全 机 制 : 公 钥 、 私 钥 加 密 以 及 加 密 的 哈 大 函数 等 ,同时 
也 依赖 于 公 钥 基础 设施 (PKD 。 


2.4.6.1 IKE 协议 的 组 成 
IKE 是 一 种 混合 型 的 协议 , 它 使 用 了 Internet 安全 关联 密 钥 管理 协议 (Internet 


security architecture and key management protocol,ISAKMP) 的 语言 ,综合 了 Oakley 和 
SKEME 的 密 钥 交换 方案 ,形成 了 独一无二 的 受 鉴 别 保护 的 加 密 材 料 生 成 技术 。 

ISAKMP 提供 了 认证 和 密 钥 交换 的 框架 ,定义 了 一 次 特定 的 验证 密 钥 交换 完成 的 过 
程 以 及 建立 安全 联盟 所 需 的 属性 ,但 是 并 没有 定义 具体 的 密 钥 交换 技术 。 

以 Oakley 为 基础 ,IKE 借鉴 了 不 同 模式 的 思想 ,每 种 模式 提供 不 同 的 服务 ,但 都 产生 
一 个 结果 : 通过 验证 的 密 钥 交换 。IKE 对 这 些 模式 进行 了 规范 ,将 其 定义 成 正规 的 密 钥 
交换 方法 。 尽 管 降低 了 Oakley 模型 的 灵活 性 ,IKE 仍然 提供 了 “ 主 模式 ”“ 野 变 模 式 ” 和 
“快速 模式 ”供用 户 选 择 。 所 以 ,最终 还 是 成 为 一 个 非常 适宜 的 密 钥 交 换 技 术 。 

SKEME 定义 了 验证 密 钥 交换 的 一 种 类 型 .其 中 ,通信 各 方 利 用 公共 密 钥 加 密实 现 相 
互 间 的 验证 ,同时 “共享 ”交换 的 组 件 。 每 一 方 都 要 用 对 方 的 公共 密 钥 来 加 密 一 个 随机 数 
字 , 两 个 随机 数字 (解密 后 ) 都 会 对 最 终 的 密 钥 产 生 影响 。IKE 在 它 的 公共 密 钥 加 密 验 证 
中 ,直接 借用 了 SKEME 的 这 种 技术 ; 同时 也 借用 了 快速 密 钥 刷新 的 概念 。 

2.4.6.2 IKE 的 工作 原理 

IKE 协议 定义 了 密 钥 协商 的 两 个 阶段 和 Diffie-Hellman 密 钥 交换 标准 密码 组 : 第 一 
阶段 在 ISAKMP 进程 间 建 立 一 个 安全 并 经 过 验证 的 信道 ,同时 为 IPSecSA( 第 二 阶段 ) 产 
生 密 钥 材料 , 即 完成 ISAKMP 安全 联盟 (ISAKMPSA); 第 二 阶段 指 协商 具体 服务 所 需 安 
全 联盟 ,这 些 服务 可 以 是 IPSec 或 任何 其 他 需要 密 钥 材料 协商 参数 的 服务 。 

1. IKE 第 一 阶段 的 协商 


第 一 阶段 通信 的 双方 建立 一 个 通过 身份 验证 和 安全 保护 的 通道 , 即 产 生 ISAKMPSA。 
IKE 第 一 阶段 提供 了 两 种 不 同 的 模式 : 主 模式 和 积极 模式 。 在 主 模式 下 ,发 起 者 和 响应 
者 一 共 交 换 6 条 消息 .并 提供 了 身份 验证 和 参数 配置 上 的 灵活 性 ; 积极 模式 只 交换 3 条 
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消息 ,其 最 大 的 优点 是 速度 快 : 但 以 降低 协议 的 安全 性 为 代价 。 在 第 一 阶段 中 通信 双方 需 
要 进行 身份 验证 ,这 两 种 模式 都 支持 4 种 不 同 的 验证 机 制 : 预 共 享 密 钥 的 验证 方法 、 公 钥 
签名 的 验证 方法 ,标准 公 钥 加 密 的 验证 方法 和 改进 的 公 钥 加 密 的 验证 方法 。 

1) 主 模 式 

主 模式 在 3 个 交换 中 总 共用 到 了 6 条 消息 ,最 终 建 立 了 ISAKMPSA。 这 3 个 步骤 分 
别 是 模式 协商 、 一 次 Diffie-Hellman 交换 和 一 次 Nonce 交换 以 及 对 对 方 身份 的 验证 的 交 
换 。 主 模式 的 特点 包括 身份 保护 以 及 对 ISAKMP 协商 能 力 的 完全 利用 。 其 中 ,身份 保护 
在 对 方 希望 隐藏 自己 的 身份 时 显得 尤为 重要 。 以 采用 数字 签名 认证 方法 为 例 , 主 模式 的 
交换 过 程 如 图 2-14 所 示 。 


发 起 者 响应 者 
HDR, SA 一 -一 
—— HDR, SA 
HDR, KE, Ni 一 一 一 
—— HDR, KE, Nr 
HDR*, IDii, [CERT,]SIG 1 一 -一 
——— HDR*, IDir, [CERT,]SIG_R 


图 2-14 主 模 式 交换 过 程 


图 中 ,HDR 表示 ISAKMP 通用 头 , 所 有 的 ISAKMP 消息 都 以 它 开头 ,其 格式 如 图 2-15 
所 示 ; HDR * 表示 对 载荷 加 密 ; SAi 和 SAr 表示 协商 的 安全 参数 载荷 ,其 格式 如 图 2-16 
所 示 ; Ni 和 Nr 表示 Nonce 载荷 ; IDii 和 [Dir 分 别 表 示 第 一 阶段 发 起 方 和 接收 方 的 身份 
载荷 ， KE 表示 Diffie-Hellman 交换 载荷 ! SIG_I 和 SIG_R 表示 用 于 验证 身份 和 消息 的 
数字 签名 值 ,表示 证 书 可 选 


发 起 者 Cookie 
响应 者 Cookie 
下 一 载荷 | 主 版 本 号 | 从 版 本 号 | 交换 类 型 标志 保留 | 载荷 长 度 
消息 ID DOI 
KE JÉ sk (situation) 
图 2-15 ISAKMP 通用 头 图 2-16 SA 载荷 的 格式 


图 中 ,发 起 者 Cookie 和 响应 者 Cookie 是 公有 信息 (如 源 / 目 的 IP 地 址 .UDP 源 /目的 
端口 ) 和 一 些 本 地 信息 的 散 列 值 ,用 以 标示 本 次 ISAKMP 交换 ,它们 可 作为 一 种 在 场 的 证 
据 使 用 ; 下 一 载荷 表示 紧 接 的 载荷 类 型 ; 接 下 来 是 ISAKMP 的 主 版 本 号 和 从 版 本 号 ; 标 
志 字 有 段 主要 用 于 加 密 同步 。 

下 一 载荷 表示 紧 跟 在 ISAKMP 头 部 之 后 的 第 一 个 载荷 类 型 值 。 目 前 定义 了 13 种 载 
fay ,类 型 值 如 表 2-1 所 示 。 

尽管 SA 载荷 后 面 一 定 跟 有 一 个 或 多 个 提议 载荷 (proposal payload) ,但 下 一 载荷 指 
向 的 并 不 是 提议 载荷 ,也 不 是 提议 载荷 后 紧 接 的 变换 载荷 (transform payload) ,而 是 指向 
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表 2-1 ISAKMP 定义 的 载荷 类 型 


None 


SA 载荷 (security association) 
提议 载荷 Cproposal) 
变换 载荷 (transform) 

密 钥 交换 载荷 (key exchange) 
身份 载荷 (identification) 

证 书 载荷 (certificate) 

证 书 请 求 载荷 (certificate request) 
Hash 载荷 Chash) 

签名 载荷 (Csignature) 

Nonce 载荷 Cnonce) 

通知 载荷 Cnotification) 

删除 载荷 Cdelete) 

厂商 载荷 (vendor) 13 
保留 14~127 
私有 用 途 128 一 255 


Ble A 
cisilelel~s aja sjwjv Hlolm 


= 
N 


变换 载荷 后 紧 接 的 载荷 。 人 们 习惯 将 变换 载荷 看 作 提 议 载荷 的 一 部 分 ,而 将 提议 载荷 看 
TE SA 载荷 的 一 部 分 。 如 果 SA 载荷 已 经 是 最 后 一 个 载荷 ., 则 下 一 载荷 字段 取 值 为 0。 
DOI 表示 该 消息 使 用 哪个 DOI 来 解释 ,DOI 取 值 为 0 表明 该 消息 使 用 ISAKMPDOI 来 解 
释 。 形 式 字 段 用 于 对 提议 载荷 进行 提议 。 

主 模式 交换 过 程 描述 如 下 : 

© 在 消息 的 第 一 次 交换 过 程 中 ,主要 完成 在 发 起 者 和 响应 者 之 间 达 成 一 系列 安全 参 
数 的 共识 ,并 对 交换 的 其 余部 分 拟定 规范 。 它 们 也 会 交换 每 一 条 消息 的 ISAKMP 头 中 存 
在 的 小 甜 饼 (Cookie) 发 起 者 在 第 一 条 消息 中 选择 .将 其 放 在 ISAKMP 头 的 “发 起 者 
小 甜 饼 ” 部 分 ; 而 响应 者 在 第 二 条 消息 中 选择 ,将 其 放 在 ISAKMP 头 的 “响应 者 小 甜 饼 ” 
部 分 。 

O 在 消息 的 第 二 次 交换 中 ,通信 双方 会 交换 Diffie-Hellman 公共 值 ( 在 第 一 次 消息 
交换 时 作为 保护 套件 的 一 部 分 协商 好 的 组 内 交换 ) 以 及 伪 随 机 Nonce。 在 这 个 时 候 , 通 信 
双方 可 完成 它们 的 Diffie-Hellman 交换 ,参与 通信 的 双方 会 生成 4 种 秘密 : SKEYID, 后 
续 所 有 的 密 钥 材料 都 建立 在 它 的 基础 上 ; SKEYID_d, 用 于 为 IPSec 衍生 出 密 钥 材 料 ; 
SKEYID_a, 用 于 保障 IKE 消息 的 数据 完整 性 以 及 对 数据 源 的 身份 验证 ; SKEYID_e, 用 
于 对 IKE 消息 加 密 。 通 信和 双方 将 共享 Diffie-Hellman 的 共享 密 钥 : oxy 也 会 在 SKEYID 
的 生成 中 用 到 。SKEYID 的 生成 取决 于 采用 的 是 何 种 验证 机 制 ,而 其 他 所 有 以 SKEYID 
为 基础 的 密 钥 都 以 相同 的 方式 衍生 出 来 。 对 每 种 验证 方法 分 别 计算 SKEYID 值 。 

对 于 预 共享 密 钥 方式 : 

SKEYID=PRF (〈 预 共享 密 钥 ,Ni_b|Nr_b) (2-1) 

对 于 公 钥 签名 方式 : 
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SKEYID=PRF(Ni_b| Nr _b,gxy) (2-2) 
对 于 公共 密 钥 加 密 方 式 : 
SKEYID=PRF(Hash(Ni_b|Nr_b),CKY_I|CKY_R) (235 
其 中 ,| 表示 连接 ,PRF( 即 伪 随 机 函数 ) 通 常 是 协商 好 的 散 列 函数 的 一 个 HMAC 版 
AS; Ni_b 表示 发 起 方 Nonce 载荷 体 ( 即 载荷 内 容 ), 以 下 类 似 。CKY_I 和 CKY_R 表示 通 
信和 双方 的 小 甜 饼 (Cookie)。 生 成 了 SKEYID 之 后 ,其 他 的 密 钥 便 可 在 它 的 基础 上 逐次 
生成 。 
SKEYID_d = PRFCSKEYID,g-xy | CKY_I | CKY_R | 0) (2-4) 
SKEYID_a = PRF(SKEYID,.SKEYID_d | gxy| CKY_I | CKY_R] 1) (2-5) 
SKEYID_e = PRF(SKEYID,.SKEYID_a | gxy| CKY_I | CKY_R| 2) (2-6) 
显然 ,PRF PRCA BK HERE TRAE MAY SKEYID 的 长 度 。 假 如 PRE 的 输出 太 
小 ,不 能 作为 一 个 加 密 密 钥 来 使 用 ,那么 SKEYID_e 必须 进行 扩展 。 例 如 ,由 HMAC- 
MD5 生成 的 SKEYID_e 长 度 是 128b, 而 AES 算法 可 能 需要 448b 的 密 钥 ,使 用 下 面 的 扩 
展 方法 , 取 Ka 的 前 448b 为 加 密 密 钥 。 
Ka=K1|K2|K3 
K1=PRF(SKEYID_e.0) 
K2=PRF(SKEYID_e.K1) 
K3=PRF(SKEYID_e. K2) 
© 在 最 后 一 次 消息 交换 过 程 中 .通信 双方 各 自 标定 自己 的 身份 ,并 相互 交换 验证 散 
列 摘 要 。 交 换 的 最 后 两 条 消息 是 用 SKEYID_e 进行 加 密 的 。 为 了 验证 交换 中 的 双方 , 协 
议 的 发 起 者 产生 Hash_I, 响 应 者 产生 Hash_R, 在 采用 数字 签名 认证 的 主 模式 和 野蛮 模 
式 中 ,发 起 方 和 响应 方 的 数字 签名 SIG_I 和 SIG_R 是 用 协商 好 的 数字 签名 算法 分 别 对 
Hash_I 和 Hash_R 签名 而 产生 的 。 其 中 : 
Hash_I=PRF(SKEYID.gxilgxr|CKY_I|CKY_R|SAi_b|IDii_b) (2-7) 
Hash_R=PRF(SKEYID,gxr|gxi| CKY_R|CKY_I| SAi_b|IDir_b) (2-8) 
至 此 ,6 条 消息 交换 完成 以 后 ,一 个 ISAKMPSA 就 成 功 地 建立 了 。 在 整个 建立 过 程 
中 ,依据 双方 的 安全 策略 .环境 配置 ,形成 了 用 于 保护 通信 双方 后 续 IPSecSA 协商 的 各 个 
安全 参数 : 鉴别 方式 .加 密 算法 . 散 列 算法 、 加密/ 鉴别 密 钥 .Oakley 群 .ISAKMPSA 生存 
期 .ISAKMPSA 的 标识 符 等 。 整 个 协商 过 程 受 到 了 完整 性 保护 ,身份 等 敏感 信息 受到 了 
机 密 性 保护 。 通 过 Cookie 的 使 用 ,一 定 程度 地 防止 了 协商 过 程 中 的 拒绝 服务 攻击 。 
2) 积极 模式 
积极 模式 交换 的 用 途 与 主 模式 交换 相同 以 建立 一 个 验证 的 安全 联盟 和 密 钥 ,随后 可 
用 IKE 为 其 他 安全 协议 建立 安全 联盟 。 主 要 的 差别 在 于 ,积极 模式 只 需 用 到 主 模式 一 半 
的 消息 。 由 于 对 消息 的 数量 进行 了 限制 .积极 模式 同时 也 限制 了 它 的 协商 能 力 ,而且 不 会 
提供 身份 保护 。 若 采用 数字 签名 认证 方式 .积极 模式 的 交换 过 程 如 图 2-17 所 示 。 
在 积极 模式 交换 过 程 中 ,发 起 者 会 提供 一 个 SA 列表 、Diffie-Hellman 7 4£ {Hf Nonce 
以 及 身份 信息 。 所 有 这 些 都 是 随 第 一 条 消息 传送 的 。 作 为 响应 者 , 则 需要 回应 一 个 选 定 
的 SA „Diffie-Hellman 公共 值 、Nonce、 身 份 信息 以 及 一 个 验证 载荷 (对 于 预 共 享 密 钥 以 及 
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发 起 者 响应 者 
HDR, SAi, KE, Ni, IDi 一 一 
—— HDR, SAr, KE, Nr, IDr [CERT,]SIG_R 
HDR, [CERT,]SIG 1 一 一 


图 2-17 积极 模式 交换 过 程 


加 密 的 Nonce 验证 来 说 ,是 一 个 散 列 载荷 ; 而 对 基于 签名 的 验证 来 说 , 则 是 一 个 签名 载 
荷 ) 。 发 起 者 将 它 的 验证 载荷 作为 最 后 一 条 消息 来 传送 。 

显而易见 ,积极 模式 的 功能 非常 有 限 ,在 需要 进行 远程 访问 的 时 候 , 由 于 发 起 者 的 地 
址 不 可 能 被 响应 者 提前 知道 ,而 且 双 方 都 打算 使 用 预 共 享 密 钥 验证 方法 ,那么 要 想 建 立 
IKESA, 这 便 是 唯一 可 行 的 交换 方法 。 


2. IKE 第 二 阶段 的 协商 


IKE 第 二 阶段 的 协商 是 通过 快速 模式 来 实现 的 。 快 速 模式 的 交换 必须 以 第 一 阶段 
协商 的 ISAKMPSA 来 保护 , 即 除 了 ISAKMP 报头 外 ,所 有 的 负载 都 要 由 SKEYID_e 
加 密 。 

在 一 个 ISAKMPSA 的 保护 下 ,可 进行 多 个 快速 模式 交换 。 该 模式 通过 交换 3 条 消 
息 完 成 IPSecSA 的 协商 。 其 交换 过 程 如 图 2-18 所 示 。 

发 起 者 响应 者 
HDR*, Hash1, SA, Ni[, KE][, IDci, [Der] 一 一 
—— HDR*, Hash2, SA, Nr[, KE][, IDci, IDer] 
HDR*, Hash3 一 -一 


图 2-18 快速 模式 交换 过 程 


其 中 ， 

Hash1l 王 PRFCSKEYID_a,M-IDISAINiLIKEJ]LIDcilIDcr]) 

Hash2 一 PRFCSKEYID_a,M-IDINi_bl|SAINrLIKE]LIDcilIDcr]) 

Hash3 = PRF(SKEYID_a.0| M-ID| Ni_b| Nr_b) 

IDci,IDcr 表示 第 二 阶段 协商 双方 的 身份 ,从 发 起 者 到 响应 者 的 第 一 条 消息 中 包含 了 
在 主 模式 协商 中 已 经 看 到 的 负载 ,当然 ,这 些 负 载 的 内 容 是 不 一 样 的 ; SA 载荷 是 根据 本 
地 策略 要 求 ,提议 的 一 种 或 多 种 保护 数据 信息 的 安全 协议 (如 ESP 或 AH) ,并 给 出 其 相 
应 的 变换 ( 即 安全 协议 的 安全 参数 ); Hash 载荷 用 于 对 交换 的 完整 性 作出 保护 ,被 置 于 
SA 载荷 之 前 ,将 首先 被 检查 ; Nonce 载荷 Ni 的 目的 在 于 给 对 方 一 个 “在 场 ” 的 证 据 , 它 表 
明 自 身 确实 是 通信 的 对 方 , 而 不 是 冒充 者 ; 是 否 包 含 可 选 的 KE 载荷 将 影响 本 次 IKE 协 
商 是 否 能 提供 PFS(perfect forward service) It .PFS 是 一 种 强制 对 等 体 双 方 (如 果 双 方 
都 同意 的 话 ) 在 快速 模式 交换 中 产生 新 的 D-H 秘密 属性 ,这 允许 使 用 新 的 D-H 密 钥 生成 
用 于 加 密 数 据 的 加 密 密 钥 ,以 保证 更 强 的 安全 性 。 即 使 攻破 第 一 阶段 的 密 钥 交 换 ( 即 攻破 
T SKEYID 等 衍生 密 钥 ), 也 只 能 阅读 受 该 SA 保护 的 信息 . 却 不 能 阅读 受 IPSecSA 保护 
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的 信息 。 可 选 的 身份 载荷 与 第 一 阶段 的 身份 载荷 的 作用 是 不 一 样 的 , 它 不 用 于 鉴别 目的 ， 
而 在 于 为 将 建立 的 IPSecSA 协商 构造 选择 符 。 这 个 选择 符 规定 了 该 IPSecSA 将 保护 什 
么 样 的 通信 。 

从 响应 者 到 发 起 者 的 第 二 条 消息 用 于 响应 发 起 者 发 出 的 第 一 条 消息 。 所 包含 的 载荷 
与 第 一 条 消息 基本 上 是 一 样 的 ,只 有 个 别 变化 ,特别 明显 的 是 只 有 已 被 接受 的 提议 与 变换 
载荷 被 返回 给 发 送 者 。 

最 后 一 条 消息 用 来 认证 响应 者 的 当前 活跃 性 。 在 这 条 消息 中 ,发 起 者 需要 同时 包括 
Nonce 和 此 次 交换 的 消息 ID, 并 把 它们 保存 在 一 个 验证 散 列 载荷 Hash3 中 。 发 送 给 响应 
者 ,这 样 响应 者 便 可 知道 发 起 者 是 否 接收 到 了 它 在 快速 模式 第 一 条 也 是 唯一 一 条 消息 并 
正确 处 理 了 它 , 以 及 避免 攻击 者 发 起 的 有 限 DoS 攻击 。 注 意 , 所 有 这 3 条 消息 都 受到 密 
钥 SKEYID_e 加 密 保 护 。 

在 第 3 条 消息 被 响应 者 接收 到 以 后 ,IPSec 快速 模式 结束 ,至 此 ,一 个 IPSecSA 建立 
完成 。 整 个 建立 过 程 受 到 ISAKMPSA 的 机 密 性 .完整 性 保护 。 而 且 , 通 过 HDR 中 的 
Cookie 等 字段 以 及 Nonce 载荷 ,使 整个 建立 过 程 能 一 定 程度 地 抗 重 放 和 拒绝 服务 攻击 。 
现在 双方 都 同意 的 IPSecSA 可 以 用 来 进行 安全 通信 。 


3. IPSec 协议 实施 方式 


IPSec 协议 可 在 终端 主机 、 网 关 / 路 由 器 或 两 者 中 同时 进行 实施 和 配置 。RFC2401 中 
规定 了 3 种 标准 的 IPSec 实现 方式 : 

(1) IPSec 与 操作 系统 (OS) 集 成 在 一 起 , 当 作 网 络 层 的 一 部 分 来 实现 ,负责 从 IP HEE 
栈 中 取出 数据 包 , 人 处 理 后 再 将 其 插入 .如 图 2-19(a) 所 示 。 

(2) IPSec 作为 一 个 “模子 ”来 实施 ,插入 网 络 层 和 数据 链 路 层 之 间 , 负 责 从 IP 堆栈 中 
取出 数据 包 , 处 理 后 再 将 其 插入 .如 图 2-19(b) 所 示 ., 称 为 “堆栈 中 的 块 (BITS)”。 

G) 在 路 由 器 中 实现 时 ,IPSec 的 实现 在 一 个 设备 中 进行 ,通常 是 一 个 外 置 的 专用 加 
密 设 备 直 接 接 人 路 由 器 的 物理 接口 ,如 图 2-19(c) 所 示 , 称 为 “ 线 缆 中 的 块 (BITW)”。 


应 用 层 应 用 层 应 用 层 
传输 层 | 传输 层 | 传输 层 
网 络 层 tlPsee | | 网 络 层 | 网 络 层 
数据 链 路 层 。 | | IPSec | 数据 链 路 层 
物理 层 | apa | IPSec 
[twa | 物理 层 
(a) 与 OS 集成 (b) BITS (c) BITW 


图 2-19 IPSec 实施 方式 对 协议 栈 的 影响 


与 操作 系统 集成 实现 的 IPSec 对 主机 和 安全 网 关 都 适用 ,由 于 IPSec 与 网 络 层 紧密 
集成 在 一 起 ,因此 它 更 有 利于 诸如 分 段 .PMTU 之 类 的 网 络 服务 ,这 使 得 实施 方案 更 为 有 
效 。 另 外 ,由 于 IPSec 实现 于 操作 系统 内 核 , 具 有 内 核 级 别 的 调度 优先 级 ,因此 效率 很 高 。 
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此 方式 在 每 个 数据 流 ( 比 如 一 个 Web 事务 处 理 ) 的 级 别提 供 安全 服务 更 为 容易 ,因为 密 钥 
管理 、 基 本 IPSec 协议 和 网 络 层 可 以 无 缝 集成 在 一 起 ,并 且 支 持 所 有 的 IPSec 模式 。 

BITS 方式 的 实现 时 ,IPSec 实现 于 现存 的 TP 协议 栈 和 本 地 网 络 驱 动 程序 之 间 , 这 种 
实现 不 需要 得 到 IP 协议 栈 的 源 代码 ,对 一 些 旧 系统 来 说 比较 适合 .该 方式 通常 被 用 于 主 
机 上 的 实现 。BITW 式 的 实现 方式 在 军事 和 商业 系统 中 经 常 采 用 ,是 一 种 使 用 独立 的 加 / 
解密 处 理 器 的 实现 方式 。 这 种 实现 方案 可 以 用 在 主机 /网 关上 ,BITW 设备 通常 是 IP 可 
寻 址 的 。BITW 设备 直接 接 和 主机/ 网关 的 物理 接口 , 它 一 般 不 运行 任何 路 由 算法 ,只 是 
用 来 保障 数据 包 的 安全 。 


2.4.6.3 单 向 Hash 函数 


单 向 Hash 函数 有 很 多 名 字 , 如 压缩 函数 、 缩 短 函 数 、 消 息 摘要 指纹、 密码 校 验 和 、 信 
息 完 整 性 检验 (DIC) .操作 检验 码 (MDC) 。 不 管 怎 么 称呼 , 它 是 现代 密码 学 的 中 心 。 单 向 
Hash 函数 是 许多 协议 的 另 一 个 结构 模块 。 

Hash 函数 长 期 以 来 一 直 在 计算 机 科学 中 使 用 ,无 论 从 数学 上 或 别 的 角度 看 , Hash 
函数 就 是 把 可 变 输入 长 度 的 字符 串 转 换 成 固定 长 度 ( 通 常 比 输入 更 短 ) 的 输出 的 字符 串 
(叫做 Hash 值 ) 的 一 种 函数 。 

简单 的 Hash 函数 就 是 对 输入 进行 处 理 , 返 回 由 所 有 输入 字 节 蜡 或 组 成 的 一 字 节 。 

这 里 的 关键 就 是 采集 输入 字符 串 的 指纹 : Hash 函数 生成 一 个 值 ,利用 这 个 值 能 够 判 
断 出 候选 的 输入 是 否 与 真实 的 输入 有 相同 的 值 。 

因为 Hash 函数 是 典型 的 多 到 一 的 函数 ,不 能 用 来 确定 两 个 串 一 定 相 同 , 但 可 用 它 来 
得 到 准确 性 的 合理 保证 。 

单 向 Hash 函数 是 在 一 个 方向 上 工作 的 Hash 函数 ,从 输入 的 值 很 容易 计算 其 Hash 
值 ,但 要 寻找 一 个 输入 使 其 Hash 值 等 于 一 个 特殊 值 却 是 很 难 的 。 

综 上 所 述 , 单 向 Hash 函数 HCM) 将 任意 长 度 的 消息 M 转换 为 固定 长 度 m 的 消息 : 

H(M)=h 

其 中 hh MK REESE m, PRR H 具有 如 下 人 性质 : 

(1) 给 定 M, 容 易 计 算 h。 

(2) 给 定 h, 根 据 h 王 HCM) 很 难 推出 M. 

(3) 给 定 M, 很 难 寻 找 另 一 个 M' ,使 HOCM) 王 HCM')。 

前 面 提 到 的 简单 Hash 函数 不 是 单 向 函数 : 已 知 一 个 特殊 的 字符 串 , 要 产生 一 个 字 
符 串 使 异 或 结果 等 于 那个 值 是 很 容易 的 事情 。 但 是 用 单 向 Hash 函数 就 不 可 能 那样 做 。 
好 的 Hash 函数 也 是 无 冲突 的 : 难以 找 出 两 个 输入 值 .使 它们 的 Hash 值 相同 。 

Hash 函数 是 公开 的 ,对 处 理 过 程 不 保密 。 单 向 Hash 函数 的 安全 性 是 它 的 单 向 性 。 输 
入 字符 串 的 单个 比特 的 改变 ,平均 而 言 , 将 引起 Hash 值 中 一 半 的 比特 改变 。 已 知 一 个 Hash 
值 ,要 找到 其 Hash 输入 的 值 ,使 它 的 Hash 值 等 于 已 知 的 Hash 值 在 计算 上 是 不 可 行 的 。 

单 向 Hash 函数 可 以 看 作 是 构成 指纹 文件 的 一 种 方法 。 如 果 A 想 验证 某 人 持 有 一 特 
定 的 文件 (同时 A 也 持 有 该 文件 ) .但 又 不 想 让 对 方 将 文件 传 给 自己 ,就 可 以 要 求 对 方 将 
该 文件 的 单 向 Hash 值 传送 过 来 。 如 果 对 方 传送 的 Hash 值 是 正确 的 ,那么 可 以 肯定 地 说 
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对 方 持 有 那 份 文件 。 

这 是 在 金融 交易 中 的 特殊 使 用 ,如 果 不 希 望 在 网 络 的 一 些 地 方 把 提取 100 美元 变 成 
提取 1000 美元 。 一 般 情况 下 ,应 使 用 不 带 密 钥 的 单 向 Hash 函数 ,以 便 任 何人 都 能 验证 
Hash 值 。 如 果 只 想 接收 者 才能 验证 Hash 值 ,那么 用 消息 认证 码 就 可 以 了 。 


2.4.6.4 消息 认证 码 


消息 认证 码 (message authentilation codes. MAC) 也 叫 数 据 认 证 码 (date 
authentilation codes, DAC) ,是 带 有 秘密 密 钥 的 单 向 Hash phi Be. Hash 值 是 输入 密 钥 的 
函数 。 这 在 理论 上 与 Hash 函数 一 样 ,但 是 只 有 拥有 密 钥 的 人 才能 验证 Hash 值 。 可 以 用 
Hash 函数 或 分 组 加 密 算法 产生 MAC, 也 有 专用 于 MAC 的 算法 。 


2.5 本 章 重 点 和 难点 


本 章 的 重点 是 Internet 协议 ,以 及 Internet 的 协议 为 什么 不 安全 ,目前 在 Internet 中 
实施 安全 保护 的 层次 ,IPSec 的 基本 概念 。 

第 2. 1 节 Internet 协议 部 分 的 重点 是 了 解 协议 的 基本 构架 和 定 址 与 路 由 部 分 
第 2. 2 节 是 本 章 的 重点 ; 第 2. 3 节 的 重点 是 了 解 在 各 层 实 施 安全 保护 的 优 缺 点 ; 第 2. 4 
节 的 重点 是 了 解 IPSec 的 体系 结构 ,理解 密 钥 交换 协议 的 过 程 。 

本 章 难 点 是 如 何 通过 具体 事例 获得 关于 安全 协议 的 感性 知识 。 


习题 与 思考 题 


. 试 述 网 络 协议 体系 的 构成 。 
. 简 述 IPv4、IPv6 的 定 址 方法 。 
. 现存 TCP/IP 协议 的 安全 缺陷 有 哪些 ? 
试 述 安 全 协议 的 基本 要 求 。 
试 述 L2TP 与 IPSec 的 联系 。 
通过 对 各 层 安 全 协议 的 了 解 , 举 例 说 明 密 码 算 法 在 协议 的 安全 性 上 所 起 的 重要 作用 。 
. Internet 安全 关联 和 密 钥 管理 协议 IKE 的 目的 和 作用 是 什么 ? 
. 如何 区 别 安全 关联 ? 
. IP 层 的 安全 体系 结构 (IPSec) 包 含 哪些 安全 服务 ,其 实现 的 基础 是 什么 ? 
. 说 明 IP 认证 头 AH 的 作用 和 格式 。 
. 说 明 封装 安全 载荷 协议 ESP 的 作用 和 格式 。 
. IP 层 的 数据 交换 模式 可 以 分 为 传输 模式 和 隧道 模式 ,请 分 别 说 明 其 过 程 和 特点 。 
. 在 AH 和 ESP 中 ,是 怎样 实现 重 放 攻 击 的 ? 
14. AH 和 ESP 的 传输 模式 和 隧道 模式 的 主要 区 别 是 什么 ? 
15. 当 两 个 传输 模式 SA 进行 捆绑 ,以 允许 在 相同 端 数据 流 中 有 AH 和 ESP 协议 ,应 
在 执行 AH 前 执行 ESP ,为 什么 ? 
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安全 协议 中 需要 使 用 各 种 密码 算法 。 本 章 对 此 作 一 介绍 。 

本 章 共 有 6 个 小 节 , 第 3. 1 节 介 绍 安 全 协议 与 密码 学 的 关系 ; 第 3. 2 节 介 绍 密码 算 
法 ; 第 3.3 节 介 绍 利 用 密码 算法 建立 安全 通信 信道 ; 第 3.4 节 介 绍 不 适用 密码 算法 的 安 
全 协议 ; 第 3. 5 节 介绍 Hash 算法 的 使 用 ; 第 3.6 节 是 本 章 重 点 和 难点 分 析 。 

安全 协议 ,有 时 也 称 作 密码 协议 ,是 以 密码 学 为 基础 的 消息 交换 协议 ,其 目的 是 在 网 
络 环境 中 提供 各 种 安全 服务 。 安 全 目标 是 多 种 多 样 的 。 例 如 ,认证 协议 的 目标 是 认证 参 
加 协议 的 主体 的 身份 。 此 外 ,许多 认证 协议 还 有 一 个 附加 的 目标 , 即 在 主体 之 间 安 全 地 分 
配 密 钥 或 其 他 各 种 秘密 。 


3.1 安全 协议 与 密码 学 的 关系 


安全 性 是 指数 据 安全 性 、 通 信安 全 性 、 信 息 安 全 性 等 ,就 像 一 条 链子 ,整个 系统 的 安全 
性 由 最 脆弱 的 连接 的 安全 性 所 决定 。 因 此 链子 上 每 一 处 都 必须 安全 ,才能 保证 整个 链子 
的 安全 (加 密 算法 、 协 议 、 密 钥 管 理 、 使 用 规范 等 ) ,任何 一 环 出 了 问题 ,都 会 危及 整个 链子 。 
如 果 算 法 很 好 ,但 是 协议 存在 漏洞 ,那么 攻击 通过 该 协议 漏洞 就 可 能 破坏 系统 。 

所 以 ,密码 学 仅 是 安全 性 的 一 部 分 ,其 至 是 很 小 的 一 部 分 。 它 仅 在 数学 上 使 一 个 系统 
安全 ,这 与 实际 使 系统 安全 是 不 同 的 。 

此 外 ,对 计算 机 密码 学 ,世界 上 绝 大 部 分 密码 学 并 没有 用 来 保护 军事 机 密 ,而 用 于 诸 
如 银行 卡 、 付 费 电 视 . 道 路 收费 .办 公 大 楼 及 计算 机 访问 令 牌 . 抽 彩 设备 、 预 付款 电子 计量 
器 等 。 在 这 些 应 用 中 ,密码 的 作用 就 是 使 卑 寺 的 犯罪 更 困难 .对 那些 高 额 聘 请 有 才能 的 大 
量 密码 分 析 者 和 满 屋 子 计算 机 的 攻击 者 并 不 适用 。 这 些 应 用 大 部 分 使 用 了 人 性 能 差 的 密码 
算法 ,但 是 被 攻破 的 原因 与 密码 分 析 没 有 多 大 关系 ,而 与 受 欺骗 的 雇员 、 聪 明 的 敲诈 行为 、 
愚蠢 的 实现 .频繁 地 说 漏 嘴 .随便 的 举止 等 有 关 。 甚 至 NSA 也 承认 ,在 它 关 注 领域 的 大 
多 数 安 全 失败 是 由 工作 运作 错误 引起 的 ,而 不 是 算法 或 协议 上 的 失败 。 在 这 些 场合 ,密码 
算法 再 好 也 没有 什么 用 处 ,完全 有 可 能 绕 过 它 。 

所 以 :密码 学 (cryptography) 与 网 络 安全 (Cnetwork security) 之 间 有 差别 .也 有 联系 。 
密码 学 是 一 种 以 秘密 的 方式 编码 信息 .使 只 有 知道 编码 秘密 的 接收 者 才 可 以 解密 被 编码 
的 信息 的 方法 。 

网 络 安全 得 益 于 密码 学 的 应 用 ,如 基于 网 络 的 用 户 登 录 协 议 。 不 过 , 它 也 并 不 是 必须 
依赖 于 密码 学 的 应 用 ,例如 ,Unix 系统 中 对 文件 的 访问 控制 ,就 没有 使 用 密码 。 反 过 来 ， 
密码 学 在 网 络 中 的 正常 应 用 也 依赖 于 系统 的 安全 。 密 码 算法 常常 用 软件 或 硬件 实现 , 它 
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们 能 和 否 正常 运作 关键 取决 于 是 否 有 一 个 安全 的 系统 。 比 如 ,如 果 系 统 缺 乏 访问 控制 的 安 
全 性 ,攻击 者 可 以 修改 密码 系统 的 软件 算法 ,造成 系统 失 密 。 可 见 , 安 全 性 的 缺乏 会 直接 
影响 密码 技术 的 效用 。 

网 络 安全 经 历 了 二 十 多 年 的 发 展 ,已 经 成 为 一 个 跨 多 门 学 科 的 综合 性 科学 , 它 包括 通 
信 技 术 、 网 络 技术 、 计 算 机 软 硬 件 设 计 技 术 、 密 码 学 、 网 络 安全 与 计算 机 安全 技术 等 。 

目前 的 网 络 安全 从 理论 上 讲 是 建立 在 密码 学 以 及 网 络 安全 协议 的 基础 上 的 。 密 码 学 
是 网 络 安全 的 核心 ,利用 密码 技术 对 信息 进行 加 密 传输 .加 密 存储 数据 完整 性 认证 .用 户 
身份 认证 等 , 比 传统 意义 上 简单 的 存 取 控 制 和 授权 等 技术 更 可 靠 。 加 密 算 法 是 一 些 公 式 
和 法 则 , 它 规定 了 明文 和 密 文 之 间 的 变换 方法 。 由 于 加 密 算法 的 公开 化 和 解密 技术 的 发 
展 ,加 上 发 达 国 家 对 关键 加 密 算法 的 出 口 限 制 ,各 国正 不 断 致力 于 开发 和 设计 新 的 加 密 算 
法 和 加 密 机 制 。 

安全 协议 方面 ,众多 标准 化 组 织 制定 了 许多 标准 和 草案 ,尤其 是 以 RFC 文档 出 现 的 
协议 标准 更 是 网 络 安全 设备 的 基础 。 因 此 ,要 不 断 发 展 和 开发 满足 新 的 需求 的 安全 协议 。 

从 技术 上 ,网 络 安全 取决 于 两 个 方面 : 网 络 设备 的 硬件 和 软件 ,网 络 安全 由 网 络 设备 
的 软件 和 硬件 互相 配合 来 实现 。 但 是 ,由 于 网 络 安全 对 网 络 上 的 信息 提供 一 种 增值 服务 ， 
人 们 往往 发 现 软件 的 处 理 速 度 成 为 网 络 的 "瓶颈 ”, 因 此 ,将 网 络 安全 的 密码 算法 和 安全 协 
议 用 硬件 实现 ,实现 线 速 的 安全 处 理 是 网 络 安全 的 一 个 主要 方向 。 

另外 ,在 安全 技术 不 断 发 展 的 同时 ,全面 加 强 安全 技术 的 应 用 也 是 网 络 安全 发 展 的 一 
个 重要 内 容 。 因 为 即使 有 了 网 络 安 全 的 理论 基础 ,没有 广泛 地 将 它 应 用 于 网 络 中 ,那么 谈 
再 多 的 网 络 安全 也 是 无 用 的 。 同 时 ,网 络 安全 不 仅仅 是 密码 算法 、 防 病毒 、 入 侵 监 测 、 防 火 
墙 、 身 份 认证 、 加 密 等 产品 的 简单 堆砌 ,而 是 包括 从 系统 到 应 用 、 从 设备 到 服务 的 比较 完整 
的 ,体系 性 的 安全 系列 产品 的 有 机 结合 。 

除了 提供 对 消息 的 保护 外 ,密码 学 在 网 络 安全 中 通常 还 有 其 他 作用 。 

。 认证 : 消息 的 接收 者 应 该 能 够 确认 消息 的 来 源 , 入 侵 者 不 可 能 伪装 成 他 人 。 

。 完整 性 : 消息 的 接收 者 应 该 能 够 验证 在 传送 过 程 中 消息 没有 被 修改 ,人 侵 者 不 可 

能 用 假 消息 代替 合法 消息 。 

© 抗 抵赖 : 发 送 者 事后 不 可 能 否认 他 发 送 的 消息 。 

这 些 功 能 需要 通过 计算 机 完成 。 某 人 是 否 就 是 他 说 的 人 ; 某 人 的 身份 证 明文 件 ( 身 
份 证 ,学 历 或 者 护照 ) 是 否 有 效 ; 声称 从 某 人 那里 来 的 文件 是 否 确 实 从 那个 人 那里 来 的 ， 
这 些 事情 都 是 通过 认证 、 完 整 性 和 抗 抵赖 来 实现 的 ,就 像 面 对 面 交 流 一 样 。 


3.2 密码 算法 


目前 ,安全 协议 采用 密码 算法 来 保护 秘密 信息 。 密 码 算 法 是 用 于 加 密 和 解密 的 数学 
函数 。 通 常 , 有 两 个 相关 的 函数 : 一 个 用 作 加 密 , 另 一 个 用 作 和 解密 。 

如 果 算 法 的 保密 性 是 基于 保持 算法 的 秘密 ,这 种 算法 称 为 受 限制 的 算法 。 受 限制 的 
算法 具有 历史 意义 ,但 按 现在 的 标准 ,它们 的 保密 性 已 远 远 不 够 。 大 的 或 经 常 变换 的 用 户 
组 织 不 能 使 用 它们 ,因为 每 当 有 一 个 用 户 离开 这 个 组 织 , 其 他 的 用 户 就 必须 改 用 另外 的 算 
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法 。 如 果 有 人 无 意 暴露 了 这 个 秘密 ,所 有 人 都 必须 改变 其 算法 。 

此 外 , 受 限制 的 密码 算法 不 可 能 进行 质量 控制 或 标准 化 。 每 个 用 户 组 织 必须 有 他 们 
自己 的 唯一 算法 。 这 样 的 组 织 不 可 能 采用 流行 的 硬件 或 软件 产品 。 但 窃听 者 却 可 以 买 到 
这 些 流行 产品 并 学 习 算 法 ,于 是 用 户 不 得 不 自己 编写 算法 并 予以 实现 ,如 果 这 个 组 织 中 没 
有 好 的 密码 学 家 ,那么 就 无 法 知道 他 们 是 否 拥有 安全 的 算法 。 

尽管 有 这 些 主 要 缺陷 , 受 限 制 的 算法 对 低 密 级 的 应 用 来 说 还 是 很 流行 的 ,用 户 或 者 没 
有 认识 到 或 者 不 在 乎 他 们 系统 中 内 在 的 问题 。 

现代 密码 学 用 密 钥 解 决 了 这 个 问题 , 密 钥 用 K 表示 。K 可 以 是 很 多 种 数值 里 的 任意 
值 。 密 钥 K 的 可 能 值 的 范围 叫做 密 钥 空间 。 加 密 和 解密 运算 都 使 用 这 个 密 钥 ( 即 运算 都 
依赖 于 密 钥 ,并 用 K 作为 下 标 表示 ) ,这 样 ,加 /解密 函数 变 成 : 


Ex(M) =C (3-1) 
Dk (C) = M (3-2) 
这 些 函数 具有 下 面 的 特性 ,如 图 3-1 所 示 : 
Dx (Ex (M)) = M (3-3) 
密 钥 (K) 密 钥 (K) 
明文 (M) [一 密 文 (C) — 原始 明文 (M) 
一 一 一 | 加 密 (EKM) | 一 一 oM) | 一 一 一 一 


图 3-1 使 用 一 个 密 钥 的 加 /解密 


有 些 算法 使 用 不 同 的 加 密 密 钥 和 解密 密 钥 ,也 就 是 说 加 密 密 钥 Ki 与 相应 的 解密 密 
$H K: 不 同 ,如 图 3-2 所 示 。 


加 密 密 钥 (K1) 解密 密 钥 (K>) 


明文 (M) p— 密 文 (C) — 原始 明文 (M) 
——>} Ji (Ex (M) ——— ff (D(C) 上 一 一 一 一 一 


图 3-2 使 用 两 个 密 钥 的 加 /解密 


Ea(M)=C (3-4) 
Dk: (C) = M (3-5) 
Dr: (Ex: (M)) = M (3-6) 


所 有 这 些 算法 的 安全 性 都 基于 密 钥 的 安全 性 ,而 不 是 基于 算法 的 细节 的 安全 性 。 这 
就 意味 着 算法 可 以 公开 ,也 可 以 被 分 析 , 可 以 大 量 生产 使 用 算法 的 产品 ,即使 偷 听 者 知道 
使 用 的 算法 也 没有 关系 ; 如 果 不 知道 使 用 的 具体 密 钥 .就 不 可 能 阅读 加 密 消息 。 

综 上 所 述 , 密 码 系统 是 由 解密 、 解 密 算法 以 及 所 有 可 能 的 明文 、 密 文 和 密 钥 组 成 的 。 

基于 密 钥 的 算法 通常 有 两 类 : 对 称 算法 和 非 对 称 ( 公 开 密 钥 ) 算 法 。 还 有 一 类 算法 ， 
有 时 称 为 Hash 函数 ,用 于 对 数据 进行 完整 性 验证 。 


3.2.1 对 称 密码 算法 
对 称 密码 算法 又 叫 传统 密码 算法 ,就 是 加 密 密 钥 能 够 从 解密 密 钥 中 推算 出 来 , 反 过 来 
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也 成 立 。 在 大 多 数 对 称 算 法 中 :加密 解 密 密 钥 是 相同 的 。 这 些 算 法 也 叫 秘 密 密 钥 算法 或 
单 密 钥 算 法 , 它 要 求 发 送 者 和 接收 者 在 安全 通信 之 前 ,商定 一 个 密 钥 。 
对 称 算法 的 安全 性 依赖 于 密 钥 ,泄露 密 钥 就 意味 着 任何 人 都 能 对 消息 进行 加 密 解 密 。 
只 要 通信 需要 保密 , 密 钥 就 必须 保密 。 对 称 算法 的 加 密 和 解密 表示 为 : 
Ex(M) =C (3-7) 
Di(CY = M (3-8) 
式 中 ,M 表示 消息 ; K 表示 密 匙 ; C 表示 加 密 后 的 消息 ; E 表示 加 密 函 数 ; D 表示 解 
对 称 算法 可 分 为 两 类 。 一 类 只 对 明文 中 的 单个 位 (有 时 对 字 节 ) 进 行 运 算 的 算法 称 为 
序列 算法 或 序列 密码 ; 另 一 类 算法 是 对 明文 的 一 组 位 进行 运算 ,这 些 位 组 被 称 为 分 组 , 相 
应 的 算法 称 为 分 组 算法 或 分 组 密码 。 现 代 计 算 机 密码 算法 的 典型 分 组 长 度 ( 例 如 DES) 
为 64 位 ,这 个 长 度 大 到 难以 分 析 破 译 ,但 又 小 到 方便 作用 。 目 前 ,比较 高 级 的 加 密 应 用 是 
使 用 AES 变 长 加 密 , 包 括 128 位 、192 位 、256 位 3 种 方式 。 


这 种 算法 具有 如 下 的 特性 : 
Dx (Ex (M)) = M (3-9) 
常用 的 对 称 密码 术 的 加 密 方案 有 5 个 组 成 部 分 (如 图 3-3 所 示 ) 。 
密 钥 密 钥 
明文 加 密 密 文 pg 原始 明文 _ 


图 3-3 采用 对 称 密码 的 加 密 


其 中 : 

明文 一 一 原始 信息 。 

加 密 算 法 以 密 钥 为 参数 ,对 明文 进行 多 种 置换 和 转换 的 规则 和 步骤 ,变换 结果 为 
密 文 。 


密 钥 一 一 加 密 与 解密 算法 的 参数 ,直接 影响 对 明文 进行 变换 的 结果 。 

密 文 一 一 对 明文 进行 变换 的 结果 。 

解密 算法 一 一 加 密 算法 的 逆 变 换 , 以 密 文 为 输入 、 密 钥 为 参数 .变换 结果 为 明文 。 

对 称 密码 术 的 优点 在 于 效率 高 (加 /解密 速度 能 达到 数 十 兆 字 节 每 秒 或 更 多 ) ,算法 简 
单 ,系统 开销 小 ,适合 加 密 大 量 数据 。 

尽管 对 称 密码 术 有 很 好 的 特性 ,但 也 存在 着 明显 缺陷 .包括 : 

(1) 进行 安全 通信 前 需要 以 安全 方式 进行 密 钥 交换 。 这 一 步骤 ,在 某 种 情况 下 是 可 
行 的 ,但 在 某 些 情况 下 会 非常 困难 ,甚至 无 法 实现 。 

(2) 规模 复杂 。 举 例 来 说 ,A 与 BB 两 人 之 间 的 密 钥 必须 不 同 于 A 和 C 两 人 之 间 的 密 
钥 , 否 则 给 B 的 消息 的 安全 性 就 会 受到 威胁 。 在 有 1000 个 用 户 的 团体 中 ,人 A 需要 保持 至 
少 999 个 密 钥 (更 确切 地 说 是 1000 个 ,需要 留 一 个 密 钥 给 自己 加 密 数据 ) 。 

对 于 该 团体 中 的 其 他 用 户 . 此 种 情况 同样 存在 。 从 而 这 个 团体 一 共 需 要 将 近 50 万 个 
不 同 的 密 钥 ! 依 此 类 推 ,n 个 用 户 的 团体 需要 n?/2 个 不 同 的 密 钥 。 
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通过 应 用 基于 对 称 密码 的 密 钥 中 心 结构 ,上 述 问 题 可 以 有 所 缓解 。 在 这 种 结构 中 , 团 
体 中 的 任何 一 个 用 户 与 中 心服 务 器 (通常 称 作 密 钥 分 配 中 心 ) 共 享 一 个 密 钥 。 因 而 ,需要 
存储 的 密 钥 数 量 基 本 上 和 团体 的 人 数 差不多 ,而且 中 心服 务 器 也 可 以 为 以 前 互相 不 认识 
的 用 户 充当 "介绍 人 ”。 但 是 ,这 个 与 安全 密切 相关 的 中 心服 务 器 必须 随时 都 是 在 线 的 , 因 
为 只 要 服务 器 掉 线 ,用户 间 的 通信 将 不 可 能 进行 。 这 就 意味 着 中 心服 务 器 是 整个 通信 成 
败 的 关键 和 受 攻 击 的 焦点 ,也 意味 着 它 还 是 一 个 庞大 组 织 通 信服 务 的 “瓶颈 ”。 


3.2.2 非 对 称 密码 算法 


非 对 称 密 码 术 也 被 称 作 公 钥 密 码 术 ,其 思想 是 由 W. Diffie 和 Hellman 在 1976 年 提 
出 的 。 不 同 于 以 往 的 加 密 技术 , 非 对 称 密码 术 是 建立 在 数学 函数 基础 上 的 ,而 不 是 建立 在 
位 方式 的 操作 上 的 。 更 重要 的 是 ,与 只 使 用 单一 密 钥 的 传统 加 密 技术 相 比 , 它 在 加 /解密 
时 ,分 别 使 用 两 个 不 同 的 密 钥 : 一 个 可 对 外 界 公 开 , 称 为 “ 公 钥 ”; 一 个 只 有 所 有 者 知道 ， 
称 为 “ 私 钥 ”"。 公 钥 和 私 钥 之 间 紧 密 联系 ,用 公 钥 加 密 的 信息 只 能 用 相应 的 私 钥 解 密 , 反 之 
亦 然 。 同 时 ,要 想 由 一 个 密 钥 推 知 另 一 个 密 钥 ,在 计算 上 是 不 可 能 的 。 

其 加 密 算法 有 如 下 特性 : 


Ex (M) = C (3-10) 
Dx (C) = M (3-11) 
Dk: (Er (M)) = M (3-12) 
其 中 ,M 表示 消息 ; Ki 表示 公 匙 ; Ks 表示 私 匙 ; C 是 加 密 后 的 消息 ; EE 是 加 密 函 数 ; 


D J Silt PF PRB o 
如 果 规 定 公 开 的 密 钥 用 于 加 密 数据 ,而 私 钥 用 于 数字 签名 , 则 在 采用 公 钥 体制 下 A 
向 B 传输 数据 的 过 程 如 图 3-4 所 示 。 
加 密 密 钥 解密 密 钥 


H 密 日 
明文 ng ee | 办 文 


图 3-4 采用 两 种 密 钥 的 加 /解密 


加 /解密 的 过 程 为 : 

(1) A 查找 B 的 公 钥 。 因 为 公 钥 的 公开 不 会 影响 到 通信 的 保密 性 ,B 可 以 将 自己 的 
公 钥 公布 在 公共 数据 库 , 由 其 他 人 取 用 .或 以 普通 电子 邮件 等 方式 通过 非 安 全 信道 发 送 
给 A。 

(2) A 采用 公 钥 加 密 算 法 以 B 的 公 钥 作为 加 密 密 钥 对 原始 信息 进行 加 密 。 

(3) A 通过 非 安全 信道 将 密 文 发 送 给 B。 

(4) B 收 到 密 文 后 ,使 用 自己 持 有 的 私 钥 对 其 解密 ,还 原 出 明文 。 

从 以 上 的 介绍 中 可 以 看 出 ,与 对 称 密码 技术 相 比 较 ,利用 非 对 称 密码 技术 进行 安全 通 
AAFS: 

(1) 通信 双方 事先 不 需要 通过 保密 信道 交换 密 钥 。 

(2) 密 钥 持 有 量 大 大 减少 。 在 n 个 用 户 的 团体 中 进行 通信 ,每 一 用 户 只 需要 持 有 自 


ul 
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己 的 私 钥 ,而 公 钥 可 放置 在 公共 数据 库 上 , 供 其 他 用 户 取 用 。 这 样 , 整 个 团体 仅 需 n 对 密 
$H ,就 可 以 满足 相互 之 间 进 行 安全 通信 的 需求 。 

G) 非 对 称 密码 技术 还 提供 了 对 称 密码 技术 无 法 或 很 难 提供 的 服务 : 如 与 Hash PA 
数 联 合 运用 可 组 成 数字 签名 ,可 证 明 的 安全 伪 随 机 数 发 生 器 的 构造 , 零 知 识 证 明 等 。 使 用 
非 对 称 密码 技术 的 主要 缺点 是 : 加 /解密 速度 慢 、 耗 用 资源 大 。 一 般 来 说 ,实用 的 加 /解密 
方案 都 综合 运用 了 对 称 密码 技术 和 非 对 称 密码 技术 。 


3.2.3 Hash 算法 


Hash 算法 也 称 Hash 函数 ,Hash 函数 有 多 个 名 称 , 最 常用 的 是 哈 希 函数 、 散 列 函 数 、 
消息 摘要 函数 .单项 函数 .压缩 函数 ,缩短 函数 等 。 本 书 中 统一 称 为 Hash 算法 。 后 面 将 
要 用 到 的 有 关 概 念 还 有 如 下 两 个 。 

(1) Hash 值 : 指 对 某 个 输入 利用 Hash 算法 进行 运算 之 后 得 到 的 值 , 一 般 是 某 个 固 
定 长 度 的 值 。 

(2) Hash 运算 : 指 对 某 个 输入 利用 Hash 算法 进行 运算 。 

在 计算 机 安全 系统 中 Hash 算法 广泛 用 于 数字 签名 、 消 息 的 完整 性 认证 .消息 的 起 源 
认证 等 。 

在 信息 安全 技术 中 ,经 常 需要 验证 消息 的 完整 性 ,通常 利用 Hash 函数 来 完成 这 种 服 
务 。 简 单 地 说 ,Hash 变换 是 一 种 有 损 奈 缩 ,就 是 一 种 将 任意 长 度 的 消息 压缩 到 某 一 固定 
长 度 的 函数 。 也 就 是 说 ,Hash 算法 对 不 同 长 度 的 输入 消息 ,产生 固定 长 度 的 输出 。 这 个 
固定 长 度 的 输出 称 为 原 输 入 消息 的 * 散 列 ” 或 “消息 摘要 ”(Message-digest) 。 

一 个 安全 的 Hash 算法 H 必须 具有 以 下 属性 : 

(1) H 能 够 应 用 到 大 小 不 一 的 数据 上 。 

(2) H 能够 生成 大 小 固定 的 输出 。 

(3) 对 于 任意 给 定 的 x,HCx) 的 计算 相对 简单 。 

(4) 对 于 任意 给 定 的 代码 h, 要 发 现 满足 HO =h 的 x 在 计算 上 是 不 可 行 的 。 

(5) 对 于 任意 给 定 的 块 x, 要 发 现 满足 HOSH iil y 二 x 在 计算 上 是 不 可 行 的 。 

(6) 要 发 现 满 足 HCx) 王 HGCy) 的 (x,y) 对 在 计算 上 是 不 可 行 的 。 


3.2.4 一 次 一 密 乱 码 本 


有 一 种 理想 的 加 密 方 案 , 称 为 一 次 一 密 乱 码 本 。 一 般 地 ,一 次 一 密 乱码 本 本 质 上 是 一 
个 大 的 不 重复 的 真 随机 密 钥 字母 集 , 这 个 密 钥 字 母 集 可 以 被 写 在 几 张 纸 上 ,并 一 起 粘 成 一 
个 乱码 本 。 它 最 初 的 应 用 形式 是 用 于 电 传 打字 机 。 发 送 方 用 乱码 本 中 的 每 一 密 钥 字母 准 
确 地 加 密 一 个 明文 字符 。 加 密 是 明文 字符 和 一 次 一 密 乱 码 本 密 钥 字符 的 模 26 加 法 。 

每 个 密 钥 仅 对 一 个 消息 使 用 一 次 。 发 送 方 对 所 发 的 消息 加 密 , 然 后 销毁 乱码 本 中 用 
过 的 一 页 或 用 过 的 纸 带 部 分 。 接 收 方 有 一 个 同样 的 乱码 本 ,并 依次 使 用 乱码 本 上 的 每 个 
密 钥 去 解密 密 文 的 每 个 字符 。 接 收 方 在 解密 消息 后 销毁 乱码 本 中 用 过 的 一 页 或 用 过 的 纸 
带 部 分 。 新 的 消息 则 用 乱码 本 的 新 的 密 钥 加 密 。 

例如 ,如 果 消 息 是 : 
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ONETIMEPAD, 
而 取 自 乱码 本 的 密 钥 序列 是 
TBFRGFARFM, 
那么 , 密 文 就 是 
IPKLPSFHGQ. 
因为 
(O++T)mod26=I 
(N+B)mod26 =P 
(E+F)mod26=K 
等 等 


dq 


PAF o 
如 果 窃 听 者 不 能 得 到 用 来 加 密 消息 的 一 次 一 密 乱 码 本 ,这 个 方案 是 完全 保密 的 。 给 
出 的 密 文 消息 相当 于 同样 长 度 的 任何 可 能 的 明文 消息 。 
由 于 每 一 密 钥 序列 都 是 等 概 的 (注意 : 密 钥 是 以 随机 方式 产生 的 ), 敌 方 没有 任何 信 
息 用 来 对 密 文 进行 密码 分 析 , 密 钥 序列 也 可 能 是 : 
POYYAEAAZX 
解密 出 来 是 : 
SALMONEGGS 
或 密 钥 序列 为 : 
BXFGBMTMXM 
解密 出 来 的 明文 为 : 
GREENFLUID 
值得 重申 的 是 : 由 于 明文 消息 是 等 概 的 ,所 以 密码 分 析 者 没有 办 法 确定 哪 一 明文 消 
息 是 正确 的 。 随 机 密 钥 序列 异 或 一 非 随 机 的 明文 消息 产生 一 完全 随机 的 密 文 消 息 。 再 大 
的 计算 能 力也 无 能 为 力 。 
值得 注意 的 是 : 密 钥 字母 必须 是 随机 产生 的 。 对 这 种 方案 的 攻击 将 是 针对 用 来 产生 
密 钥 序列 的 那 种 方法 。 使 用 伪 随 机 数 发 生 器 是 不 值得 考虑 的 ,它们 通常 具有 非 随 机 性 。 
如 果 采 用 真 随机 源 ( 这 比 第 一 次 出 现 难得 多 ) , 它 就 是 安全 的 。 
另 一 个 重要 的 事情 是 密 钥 序 列 不 能 重复 使 用 ,即使 用 多 兆 字 节 的 乱码 本 ,如 果 密 码 分 
析 者 有 多 个 密 钥 重 到 的 密 文 ,也 能 够 重 构 明 文 。 他 把 每 排 密 文 移 来 移 去 ,并 计算 每 个 位 置 
的 适 配 量 。 如 果 排 列 正确 , 则 适 配 的 比例 会 突然 升 高 (准确 的 百分比 与 明文 的 语种 有 关 ) 。 
从 这 一 点 来 说 ,密码 分 析 是 容易 的 , 它 类 似 于 重合 指数 法 ,只 不 过 用 两 个 “周期 * 作 比较 。 
所 以 千 万 别 重复 使 用 密 钥 序 列 。 
一 次 一 密 乱 码 本 的 想法 很 容易 推广 到 二 进 制 数据 的 加 密 , 只 需 由 二 进 制 数字 组 成 的 
一 次 一 密 乱 码 本 代替 由 字母 组 成 的 一 次 一 密 乱 码 ,用 异 或 代替 一 次 一 密 乱 码 本 的 明文 字 
符 加 法 即 可 。 为 了 解密 ,用 同样 的 一 次 一 密 乱 码 本 对 密 文 异 或 ,其 他 保持 不 变 , 保 密 性 也 
很 完善 。 
这 听 起 来 简单 .但 先 要 解决 几 个 问题 。 因 为 密 钥 比 特 必须 是 随机 的 ,并 且 绝 不 能 重复 
使 用 , 密 钥 序列 的 长 度 要 等 于 消息 的 长 度 。 一 次 一 密 乱 码 本 对 短信 息 是 可 行 的 ,但 它 绝 不 
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可 能 在 宽带 或 大 流量 的 通信 信道 上 工作 。 虽 然 能 在 一 张 CD-ROM 中 存储 650MB 的 随机 
二 进 制 数 ,但 还 有 一 些 问题 要 注意 : 首先 ,需要 准确 地 复制 两 份 随机 数 比 特 ,CD-ROM 对 
大 量 的 数据 来 说 是 经 济 的 ; 其 次 ,需要 能 够 销毁 已 经 使 用 过 的 比特 ,而 CD-ROM 没有 抹 
除 设 备 ,除非 物理 毁坏 整 张 盘 。 数 字 磁 带 对 这 种 东西 来 说 是 更 好 的 媒体 。 

即使 解决 了 密 钥 的 分 配 和 存储 问题 ,还 需 确信 发 送 方 和 接收 方 是 完全 同步 的 。 如 果 
接收 方 有 一 比特 的 偏 移 (或 者 一 些 比特 在 传送 过 程 中 丢失 了 ), 消 息 就 会 变 得 乱七八糟 。 
另 一 方面 ,如 果 某 些 比特 在 传送 中 被 改变 了 (没有 增 减 任何 比特 ,更 像 由 于 随机 噪声 引起 
的 ) ,那些 改变 了 的 比特 就 不 能 正确 地 解密 。 再 者 ,一 次 一 密 乱 码 本 不 提供 鉴别 。 

一 次 一 密 乱 码 本 在 今天 的 应 用 场合 主要 用 于 高 度 机 密 的 低 带 宽 信 道 。 据 说 ,美国 和 
前 苏联 之 间 的 热线 电话 就 是 用 一 次 一 密 乱 码 本 加 密 的 。 许 多 前 苏联 间谍 传递 的 消息 也 是 
用 一 次 一 密 乱 码 本 加 密 的 。 到 今天 这 些 消息 仍 是 保密 的 ,并 将 一 直 保 密 下 去 。 不 管 超级 
计算 机 工作 多 久 , 也 不 管 半 个 世纪 中 有 多 少 人 、 用 什么 样 的 方法 和 技术 、 具 有 多 大 的 计算 
REJI ,他 们 都 不 可 能 阅读 前 苏联 间谍 用 一 次 一 密 乱 码 本 加 密 的 消息 ,除非 得 到 加 密 消息 的 
一 次 一 密 乱 码 本 。 


3.3 利用 密码 算法 建立 安全 通信 信道 


3.3.1 对 称 密码 技术 


相互 不 能 见面 的 通信 双方 怎样 安全 地 通信 呢 ? 对 通信 的 内 容 进行 加 密 可 以 实现 保密 
通信 。 但 是 完整 的 协议 描述 很 复杂 ,下 面 先 来 看 看 A 发 送 加 密 的 信息 给 B 的 过 程 : 

(1) A 和 B 协 商 使 用 同一 密码 系统 。 

(2) A 和 B 协 商 使 用 同一 密 钥 。 

G) A 用 加 密 算法 和 选取 的 密 钥 加 密 其 明文 信息 ,得 到 密 文 信息 。 

(4) A 发 送 密 文 信息 给 B。 

(5) B 用 同样 的 算法 和 和 密 钥 解密 密 文 , 然 后 得 到 明文 信息 。 

位 于 A 和 B 之 间 的 窃听 者 玉 在 监听 这 个 协议 。 如 果 听 到 的 是 在 步骤 (4) 中 发 送 的 密 
X.E 必须 设法 分 析 密 文 ,这 是 唯 密 文 的 被 动 攻击 法 ; 有 很 多 算法 能 够 阻止 下 ,使 其 不 可 
能 得 到 问题 的 解答 。 

尽管 如 此 ,但 王 也 在 窃听 步骤 (1) 和 步骤 (2) ,这 样 就 知道 了 算法 和 密 钥 ,E 就 和 B 知 
道 的 一 样 多 。 当 步骤 (4) 中 的 信息 通过 信道 传送 过 来 时 ,E 所 做 的 全 部 工作 就 是 解密 密 文 
信息 。 

好 的 密码 系统 的 全 部 安全 性 只 与 密 钥 有 关 , 与 算法 没有 任何 关系 。 因 此 , 密 钥 管理 在 
密码 学 中 极为 重要 。 

有 了 对 称 算法 ,A A B 能 够 公开 地 实现 步骤 (1). 但 必须 秘密 地 完成 步骤 (2)。 在 协 
议 执 行 前 、 执 行 过 程 中 和 执行 后 ,只 要 信息 必须 保持 秘密 , 密 钥 就 必须 保持 秘密 ,否则 , 信 
息 就 将 不 再 是 秘密 的 了 。 公 开 密 钥 密码 学 用 另 一 种 方法 解决 了 这 个 问题 ,将 在 下 一 节 中 


讨论 。 
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主动 攻击 者 M 则 在 做 其 他 事情 ,例如 ,企图 破坏 在 步骤 (4) 中 使 用 的 通信 信道 ,使 A 
和 BB 根本 不 可 能 通信 。 也 可 以 截取 A 的 信息 并 用 自己 的 信息 替代 它 。 如 果 M 也 知道 密 
钥 ( 通 过 截取 步骤 (2) 的 通信 或 者 破译 密码 系统 ) ,就 可 能 加 密 自己 的 信息 ,然后 发 送 给 B， 
用 来 代替 截取 的 信息 。B 没有 办 法 知道 接收 到 的 信息 不 是 来 自 A。 如 果 M 不 知道 密 钥 ， 
所 产生 的 代替 信息 被 解密 出 来 是 无 意义 的 ,B 就 会 认为 从 A 那里 来 的 信息 是 网 络 或 者 是 
A 有 严重 问题 。 

此 外 ,A 是 否 也 可 以 破坏 这 个 协议 ? 显然 ,A 可 以 把 密 钥 的 副本 给 下 。 这 样 正 就 可 以 
读 B 所 发 的 信息 ,但 B 却 不 知道 。 虽然 问 题 很 严重 ,但 这 并 不 是 协议 的 问题 。 在 协议 过 
程 的 任何 一 点 都 不 可 能 阻止 A 把 明文 的 副本 交 给 EE。 当然 ,类 似 地 ,B 也 可 能 做 A 所 做 
的 事 。 所 以 协议 需要 假定 A 和 B 是 互相 信任 的 。 

总 之 ,对 称 密码 算法 存在 下 面 的 密 钥 问题 。 

分 配 : 密 钥 必 须 秘密 地 分 配 , 密 钥 比 任何 加 密 的 信息 更 有 价值 ,因为 知道 了 密 钥 意 味 
着 知道 了 所 有 信息 。 对 于 遍及 世界 的 加 密 系统 ,这 是 令 人 难以 忍受 的 任务 ,需要 经 常 派 信 
使 将 密 钥 传递 到 目的 地 。 

泄露 : 如 果 密 钥 被 损害 (被 偷 穹 , 猜 出 来 ,被 逼迫 交 出 来 ,受贿 等 ) ,那么 下 就 可 以 用 该 
密 钥 去 解密 所 有 传送 的 信息 ,也 可 以 假装 是 几 方 中 的 某 一 方 , 产 生 虚 假 信 息 去 欺骗 另 
一 方 。 

数量 : 假设 网 络 中 每 对 用 户 使 用 不 同 的 密 钥 ,那么 密 钥 总 数 随 着 用 户 数 的 增加 迅速 
增多 。N 个 用 户 的 网 络 需 要 n(n 一 1)/2 个 密 钥 。 例 如 ,10 个 用 户 互 相通 信 需 要 45 个 不 
同 的 密 钥 ,100 个 用 户 需要 4950 个 不 同 的 密 钥 等 。 虽然 这 个 问题 可 以 通过 将 用 户 数量 控 
制 在 较 小 数目 来 减轻 ,但 这 又 限制 了 应 用 。 


3.3.2 公开 密 钥 密 码 技术 


如 果 把 对 称 算法 看 成 保险 柜 , 密 钥 就 是 保险 柜 的 号 码 组 合 。 知 道 号 码 组 合 的 人 能 够 
打开 保险 柜 , 放 入 文件 ,再 关闭 它 。 持 有 号 码 组 合 的 其 他 人 可 以 打开 保险 柜 , 取 出 文件 来 ， 
而 不 知道 保险 柜 号 码 组 合 的 人 就 必须 去 摸索 打开 保险 柜 的 方法 。 

1976 年 ,Whitfield Diffie 和 Martin Hellman 改变 了 密码 学 的 这 种 范例 (虽然 NSA 
宣称 早 在 1966 年 就 有 这 种 概念 的 知识 ,但 没有 提供 证 据 )。 他 们 提出 了 公开 密 钥 密码 学 。 
他 们 使 用 两 个 不 同 的 密 钥 : 一 个 是 公开 的 , 另 一 个 是 秘密 的 。 持 有 公 钥 的 任何 人 都 可 加 
密 信息 ,但 却 不 能 解密 。 只 有 持 有 私 钥 的 人 才能 解密 。 就 好 像 有 人 把 密码 保险 柜 变 成 一 
个 信箱 ,把 邮件 投 进 邮 箱 相 当 于 用 公开 密 钥 加 密 , 任 何人 都 可 以 做 ,只 要 打开 窗口 ,把 它 投 
进去 。 取 出 邮件 相当 于 用 私 钥 解 密 。 一 般 情况 下 ,打开 它 是 很 难 的 ,需要 焊接 机 和 火把 。 
然而 ,如 果 拥 有 私 钥 ( 开 信箱 的 钥匙 ) ,就 很 容易 从 邮箱 中 取出 邮件 。 

从 数学 上 来 说 ,这 个 过 程 是 基于 前 面 讨论 过 的 单 向 陷 门 函数 。 加 密使 用 公开 密 钥 , 任 
何人 都 能 加 密 信 息 。 解 密 做 得 非常 困难 ,以 至 于 如 果 不 知 道 这 个 秘密 ,即使 用 Cray 计算 
机 和 几 百 万 年 的 时 间 都 不 能 解 开 这 个 信息 。 这 个 秘密 或 陷 门 就 是 私 钥 。 持 有 这 个 秘密 ， 
解密 就 和 加 密 一 样 容易 。 

下 面 描 述 A 怎样 使 用 公开 密 钥 密码 发 送信 息 给 B( 第 一 个 协议 ): 
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(1) A 和 B 选用 一 个 公开 密 钥 密码 系统 。 

(2) 也 将 自己 的 公 钥 传送 给 A. 

(3) A 用 B 的 公 和 钥 加 密 自己 的 信息 ,然后 传送 给 B。 

(4) B 用 自己 的 私 钥 解 密 A 的 信息 。 

注意 : 公 钥 密码 是 怎样 解决 对 称 密码 系统 的 密 钥 管理 问题 的 。 在 对 称 密码 系统 中 ， 
A 和 B 不 得 不 选取 同一 密 钥 。A 能 够 随机 选取 一 个 ,但 她 不 得 不 把 选取 的 密 钥 传 给 Bo 
她 可 能 事先 交 给 B, 但 需要 有 先 见 之 明 。 她 也 可 以 通过 秘密 信使 把 密 钥 送 给 B, 但 太 费 时 
间 。 采 用 公 钥 密码 ,就 很 容易 了 ,不 用 事先 安排 ,A 就 能 把 信息 安全 地 发 送 给 B。 一 直 都 
在 窃听 整个 交换 过 程 的 下 ,有 了 BB 的 公 钥 和 用 公 钥 加 密 的 信息 ,但 却 不 能 恢复 B 的 私 钥 或 者 
传送 的 信息 。 

网 络 中 的 用 户 约 定 一 公 钥 密码 系统 ,每 一 用 户 有 自己 的 公 钥 和 私 钥 , 并 且 公 钥 在 某 些 
地 方 的 数据 库 中 都 是 公开 的 ,现在 这 个 协议 就 更 容易 了 (第 二 个 协议 ) : 

(1) A 从 数据 库 中 得 到 B 的 公 钥 。 

(2) A 用 B 的 公 钥 加 密 信息 ,然后 送 给 B。 

(3) B 用 自己 的 私 钥 解密 A 发 送 的 信息 。 

第 一 个 协议 中 ,在 A 给 B 发 送信 息 前 ,B 必须 将 自己 的 公 钥 传送 给 A, 第 二 个 协议 更 
像 传 统 的 邮件 方式 ,直到 B 想 读 自己 的 信息 时 , 才 与 协议 有 牵连 。 


3.3.3 混合 密码 系统 


历史 上 ,在 讨论 把 DES 算法 作为 标准 建议 的 同时 ,公布 了 第 一 个 公开 密 钥 算法 。 值 
得 一 提 的 是 ,现在 很 多 高 级 应 用 中 ,DES 已 逐渐 被 AES 所 取代 。 

在 现实 世界 中 .公开 密 钥 算 法 不 会 代替 对 称 算法 。 公 开 密 钥 算 法 不 用 来 加 密 消息 ,而 
用 来 加 密 密 钥 。 这 样 做 有 两 个 理由 : 

(1) 公 钥 算法 比 对 称 算法 慢 , 对 称 算法 比 公 钥 算法 快 1000 倍 。 虽 然 ,. 计 算 机 变 得 越 
来 越 快 ,在 15 年 后 计算 机 运行 公开 密 钥 密码 算法 的 速度 比 得 上 现在 计算 机 运行 对 称 密码 
的 速度 。 但 是 ,带宽 需求 也 在 增加 ,总 有 比 公开 密 钥 密码 处 理 更 快 的 加 密 数 据 要 求 。 

(2) 公开 密 钥 密码 系统 对 选择 明文 攻击 是 脆弱 的 。 如 果 C 二 E(P), 当 P 是 NN 个 可 能 
明文 集中 的 一 个 明文 ,那么 密码 分 析 者 只 需要 加 密 所 有 N 个 可 能 的 明文 ,并 能 与 C 比较 
结果 (注意 : 加 密 密 钥 是 公开 的 )。 用 这 种 方法 ,不 可 能 恢复 解密 密 钥 ,但 能 够 确定 P。 

如 果 持 有 几 个 可 能 加 了 密 的 明文 消息 ,那么 采用 选择 明文 攻击 可 能 特别 有 效 。 例 如 ， 
UR P Æ E 100 万 美元 少 的 某 个 美元 值 ,密码 分 析 者 尝试 所 有 100 万 个 可 能 的 美元 值 , 即 
使 P 不 很 明确 ,这 种 攻击 也 是 非常 有 效 的 。 仅 仅 知 道 密 文 与 某 个 特殊 的 明文 不 相符 ,就 
可 能 是 有 用 的 信息 。 对 称 密码 系统 不 易 受 这 种 攻击 ,因为 密码 分 析 者 不 可 能 用 未 知 的 密 
钥 来 完成 加 密 的 尝试 。 

在 大 多 数 实 际 的 实现 中 ,公开 密 钥 密码 用 来 确保 安全 和 分 发 会 话 密 钥 。 这 些 会 话 密 
钥 用 在 对 称 算法 中 ,对 通信 消息 进行 保密 。 有 时 称 这 种 系统 为 混合 密码 系统 。 

(1) B 将 自己 的 公开 密 钥 Es 发 给 A: Es 一 A。 

(2) A 产生 随机 会 话 密 钥 K, 用 B 的 公开 密 钥 加 密 K, 并 把 加 密 后 的 密 钥 Es (K) 送 给 
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B: Es(K)>B. 
(3) B 用 自己 的 私 钥 解 密 A 的 消息 ,恢复 出 会 话 密 钥 : 
Dp (Es (K))=K 

(4) 两 人 用 同一 会 话 密 钥 K 对 他 们 的 通信 信息 进行 加 密 。 

把 公开 密 钥 密码 用 于 密 钥 分 配 解决 了 很 重要 的 密 钥 管理 问题 。 对 对 称 密码 而 言 , 数 
据 加 密 密 钥 直到 使 用 时 才 起 作用 。 如 果 王 得 到 了 密 钥 ,那么 她 就 能 够 解密 用 这 个 密 钥 加 
密 的 消息 。 在 前 面 的 协议 中 , 当 需 要 对 通信 加 密 时 , 才 产生 会 话 密 钥 ,不 再 需要 时 就 销毁 ， 
这 极 大 地 减少 了 会 话 密 钥 遭 到 损害 的 风险 。 当 然 , 私 钥 面 对 泄露 是 脆弱 的 ,但 风险 较 小 ， 
因为 只 有 每 次 对 通信 的 会 话 密 钥 加 密 时 才 用 它 。 这 将 在 下 一 节 中 进一步 讨论 。 


3.4 不 使 用 密码 算法 的 安全 协议 的 例子 


历史 上 ,Ralph Merkle 设计 了 第 一 个 公开 密 钥 密码 。 

Merkle 的 技术 基于 : Pea i 题 比 窃听 者 更 容易 。 下 面 就 是 根据 这 
一 思路 提出 的 ,A 不 用 首先 和 B 交换 密 钥 就 把 加 密 消 息 发 给 B 的 过 程 : 

(1) B 产生 2° KKH 100 人 “这 是 难题 数 x, 这 是 秘密 密 钥 数 
y”, 其 中 x 是 随机 数 ,y 是 随机 的 秘密 密 钥 。 每 个 消息 的 x 和 y 都 是 不 相同 的 。 采 用 对 称 
算法 ,用 不 同 的 20 比特 密 钥 对 每 个 消息 加 密 ,并 都 发 给 A。 

(2) A 随机 选择 一 个 消息 ,通过 穷 举 攻击 恢复 明文 。 这 个 工作 量 是 很 大 的 ,但 并 不 是 
不 可 能 的 。 

(3) A 用 恢复 出 来 的 密 钥 y 和 一 条 需要 传递 的 用 对 称 算法 加 密 秘密 消息 ,并 把 它 和 
密 钥 y 相应 的 x 一 起 发 给 B。 

(4) B 知道 自己 用 哪个 秘密 密 钥 y 对 消息 x 加 密 的 ,这 样 就 能 解密 消息 。 

E 要 破译 这 个 系统 ,就 必须 做 比 A 和 B PARNE: 为 了 恢复 步骤 (3) 的 消息 ,下 

必须 完成 对 B 在 步骤 (1) 中 的 所 有 22 消息 的 穷 举 攻击 。 这 个 攻击 的 复杂 性 是 22。x 的 

Erau E AIAR, ERRO) PENEL EA, LE 花费 的 努力 大 
约 是 A 花费 的 努力 的 平方 。 

按照 密码 学 的 标准 ,n 一 翌 没有 什么 优势 .但 在 某 些 情况 下 ,这 可 能 足够 复杂 。 如 果 
A 和 B 每 秒 可 试 1 万 个 ,这 将 使 他 们 每 个 人 要 花 1 分 钟 去 完成 各 自 的 步骤 ,再 花 另 外 1 分 
钟 在 1. 544Mb/s 链 路 上 完成 从 A 到 B 的 通信 难题 。 如 果 王 有 同样 的 计算 设备 ,破译 这 
个 系统 将 花费 她 大 约 1 年 的 时 间 ,其 他 算法 甚至 更 难 破译 。 


3.5 Hash 算法 的 使 用 一 一 数字 签名 


长 期 以 来 ,文件 上 的 手写 签名 用 于 作者 身份 的 证 明 ,或 者 同意 文件 的 内 容 的 证 明 。 手 
写 签名 使 人 重视 的 原因 是 : 

(1) 签名 是 可 信 的 。 签 名 使 文件 的 接收 者 相信 签名 者 是 慎重 地 在 文件 上 签字 的 。 

(2) 签名 不 可 伪造 。 签 名 证 明 是 签字 者 而 不 是 其 他 人 的 签字 。 
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(3) 签名 不 可 重用 。 签 名 是 文件 的 一 部 分 .不 法 之 徒 不 可 能 将 签名 移 到 不 同 的 文件 上 。 

(4) 签名 的 文件 是 不 可 改变 的 。 在 文件 签名 后 ,文件 不 能 改变 。 

(5) 签名 是 不 可 抵赖 的 。 签 名 和 文件 是 物理 的 东西 。 签 名 者 事后 不 能 声称 他 没有 签 
过 名 。 

但 是 在 现实 生活 中 ,关于 签名 的 上 述 条 件 是 难以 达到 的 。 实 际 上 ,签名 可 以 伪造 ,可 
以 从 一 份 文件 次 用 移 到 另 一 份 文件 中 ; 文件 在 签名 后 还 可 以 算 改 等 。 现 实 中 之 所 以 相信 
上 述说 法 ,因为 欺骗 是 困难 的 ,并 且 还 要 冒 被 发 现 的 危险 。 

另 一 方面 ,针对 计算 机 中 的 文件 ,要 达到 上 述 信任 ,问题 就 变 得 十 分 困难 。 因 为 ,首先 
计算 机 文件 易于 复制 ,即使 某 人 的 签名 难以 伪造 (例如 ,手写 签名 的 图 形 ), 从 一 个 文件 到 
另 一 个 文件 剪裁 和 粘贴 有 效 的 签名 都 是 很 容易 的 ; 其 次 在 签名 后 ,也 容易 修改 文件 ,并 且 
不 会 留 下 任何 修改 的 痕迹 。 

所 以 ,为 了 对 计算 机 文件 进行 有 效 签 名 ,需要 利用 加 /解密 知识 才能 产生 所 谓 的 “数字 
签名 ”, 以 确保 计算 机 上 文件 的 有 效 性 。 数 字 签 名 是 目前 电子 商务 .电子 政务 中 应 用 最 普 
遍 ,技术 最 成 熟 , 可 操作 人 性 最 强 的 一 种 电子 签名 方法 。 它 包括 普通 数字 签名 和 特殊 数字 签 
名 ,其 中 普通 数字 签名 用 到 的 算法 有 RSA, ElGamal , DES/DSA 、 椭 圆 申 线 数字 签名 算法 
等 ; 特殊 数字 签名 有 讶 签名 .代理 签名 、 群 签名 .门限 签名 等 。 


3.5.1 算法 和 术语 


有 许多 数字 签名 操作 过 程 中 使 用 的 算法 都 采用 公 钥 算法 ,用 秘密 信息 对 文件 签名 ,用 
公开 信息 去 验证 。 这 时 的 签名 过 程 也 叫 * 用 私 钥 加 密 ”, 验 证 过 程 也 叫 " 用 公 钥 解密 ”。 

实际 上 ,并 不 仅仅 只 对 类 似 RSA 这 样 的 公开 密 钥 算法 才能 完成 数字 签名 过 程 。 也 可 
以 使 用 单 向 Hash 算法 和 时 间 标 记 完 成 签名 和 验证 过 程 ,但 是 这 种 情况 下 对 签名 和 验证 
过 程 进行 处 理 要 增加 额外 步骤 ,而 且 Hash 算法 可 用 作 数 字 签 名 ,但 不 能 用 作 加 密 ,因为 

一 般 地 ,签名 和 验证 过 程 通常 不 包括 签名 操作 所 使 用 的 算法 细节 。 其 中 ,签名 的 生成 
过 程 如 图 3-5 所 示 。 

相应 的 验证 过 程 如 图 3-6 所 示 。 


收 到 的 消息 
i 
消息 散 列 算法 
ne 1 
散 列 算法 URRE 
l 发 
消息 摘要 z = 
Ee miee -— 
z 1 数 名 A 
方 | 一 一 -| 签名 操作 过 1 
私 名 Yes 一 通过 
#H No 一 失败 


图 3-5 签名 的 生成 过 程 图 3-6 签名 的 认证 过 程 
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更 详细 地 看 ,数字 签名 过 程 原理 如 图 3-7 和 图 3-8 所 示 。 


图 3-7 数字 签名 原理 (发 送 方 ) 


在 接收 方 , 为 了 验证 签名 的 真 伪 ,采用 下 述 方式 : 用 户 方 接收 到 的 信息 中 ,签名 部 分 采 
用 约定 的 解密 算法 ,解密 出 Hash 值 ; 而 明文 部 分 则 采用 约定 的 Hash 算法 计算 出 明文 的 
Hash 值 。 将 解密 所 得 Hash 值 与 计算 所 得 Hash 进行 比较 ,如 果 一 致 ,就 通过 签名 验证 。 


约定 的 解 | 上 一 ~ xen 


明文 的 
Hash 算 法 Hash 值 


图 3-8 数字 签名 原理 (接收 方 


在 签名 时 , 附 在 文件 上 的 比特 串 叫 数字 签名 (在 上 面 的 例子 中 ,用 私 钥 对 文件 的 单 向 
Hash 值 加 密 ) 或 者 叫 签名 。 信 息 的 接收 者 用 以 确认 发 送 者 的 身份 和 信息 的 完整 性 的 整 
个 协议 叫做 认证 。 关 于 协议 的 详细 内 容 将 在 后 面 讨论 。 


3.5.2 使 用 对 称 密 码 系 统 和 仲裁 者 的 文件 签名 


假设 A 想 对 数字 消息 签名 . 送 给 B。 在 TT 和 对 称 密码 系统 的 帮助 下 ,她 能 做 到 。 

工 是 一 个 有 权 的 、 值 得 依赖 的 仲裁 者 。 他 可 以 同时 与 A 和 B( 也 可 以 是 其 他 想 对 数据 
文件 签名 的 任何 人 ) 通 信 。 他 和 A 共享 密 钥 KA ,和 B 共享 另 一 个 不 同 的 密 钥 Ke 。 并 假 
定 这 些 密 钥 在 协议 开始 前 就 已 建 好 ,并 且 为 了 多 次 签名 可 多 次 重复 使 用 。 

签名 协议 过 程 如 下 : 

(1) A 用 KA 加 密 准 备 发 送 给 B 的 信息 ,并 把 它 传送 给 工 。 

(2) 工 用 KA 解密 信息 。 

(3) 工 把 这 个 解密 信息 和 他 收 到 A 信息 的 声明 ,一 起 用 Ks 加 密 。 
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(4) 工 把 加 密 的 信息 包 传 给 B。 

(5) B 用 Ks 解密 信息 包 , 他 就 能 读 A 所 发 的 信息 和 工 的 证 书 , 证 明 信 息 来 自 A。 

工 怎么 知道 信息 是 从 A 而 不 是 从 其 他 冒名 顶替 者 那里 来 的 呢 ? 答案 是 .从 信息 的 加 密 
推断 出 来 。 由 于 只 有 他 和 A 共享 他 们 两 人 的 密 钥 ,所 以 只 有 A 能 用 这 个 密 钥 加 密 信息 。 

这 和 文件 签名 的 意义 一 样 吗 ? 让 我 们 看 看 协议 的 特点 : 

(1) 这 个 签名 是 可 信 的 ,T 是 可 信 的 仲裁 者 ,并 且 知 道 消息 是 从 A 那里 来 的 ,TT 的 证 
书 对 B 起 着 证 明 的 作用 。 

(2) 这 个 签名 是 不 可 伪造 的 。 只 有 A( 和 ,因为 每 个 人 都 相信 和 他) 知道 Ks, 因 此 只 
有 A 才能 把 用 Ky 加 密 的 信息 传 给 TT。 如果 有 人 冒充 A,T 在 步骤 (2) 马 上 就 会 察觉 ,并 
且 不 会 去 证 明 这 一 步 的 可 靠 性 。 

(3) 这 个 签名 是 不 能 重新 使 用 的 。 如 果 B 想 把 工 的 证 书 附 到 另 一 个 信息 上 ,人 A 就 知 
道 受骗 了 。 仲 裁 者 (可 能 是 全 或 者 可 存 取 同一 信息 的 另 一 名 仲裁 者 ) 就 会 要 求 B 同时 提 
供 信息 和 A 加 密 后 的 信息 ,然后 仲裁 者 就 用 Ky 加密 信息 ,他 马上 就 会 发 现 它 与 B 提供 
的 加 密 信 息 不 相同 。 很 显然 ,B 由 于 不 知道 KA ,他 不 可 能 提供 加 密 信息 使 它 与 用 Ka 加 
密 的 信息 相符 。 

(A) 签名 文件 是 不 能 改变 的 。B 想 在 接收 后 改变 文件 .TT 就 可 用 刚才 描述 的 同样 办 
法 证 明 B 的 思春 行为 。 

(5) 签名 是 不 能 抵赖 的 ,即使 A 以 后 声称 她 没有 发 信息 给 B,T 的 证 书 会 说 明 真 相 。 
注意 : 工 是 每 个 人 都 信任 的 ,他 说 的 都 是 正确 的 。 

如 果 B 想 把 A 签名 的 文件 给 C 阅读 ,他 不 能 把 自己 的 密 钥 交 给 她 ,他 还 得 通过 工 : 

(1) B 把 信息 和 工 关于 信息 是 来 自 A 的 声明 用 Ks 加密, 然后 送 回 给 T. 

(2) T H Ks 解密 信息 包 。 

(3) 工 检查 他 的 数据 库 , 并 确认 原始 信息 是 从 A 那里 来 的 。 

(4) 工 用 他 和 C 共享 的 密 钥 Kc 重新 加 密 信 息 包 ,把 它 送 给 C。 

(5) CFA Ke 解密 信息 包 , 她 就 能 阅读 信息 和 工 证 实 信 息 来 自 A 的 证 书 。 

虽然 这 些 协议 是 可 行 的 ,但 对 工 来 说 是 非常 耗 时 的 。 他 不 得 不 整 天 加 密 、 解 密 信息 ， 
在 彼此 想 发 送 签名 文件 的 每 一 对 人 之 间 充 当中 间 人 。 他 必须 备 有 数据 库 信息 (虽然 可 以 
通过 把 发 送 者 加 密 的 信息 复制 发 送 给 接收 者 来 避免 )。 在 任何 通信 系统 中 ,即使 他 是 毫 无 
思想 的 软件 程序 ,都 会 成 为 通信 的 “瓶颈 ”。 

更 困难 的 是 如 何 找到 像 工 那样 的 .网 络 用 户 都 信任 的 人 。T 必须 是 完美 无 缺 的 , 即 
使 他 在 100 万 次 签名 中 只 犯 了 一 个 错误 ,也 将 不 会 有 人 再 信任 他 。T 必须 是 绝对 安全 的 ， 
如 果 他 的 密 钥 数据 库 汇 露 了 ,或 有 人 能 修改 他 的 程序 代码 .所 有 人 的 签名 可 能 是 完全 无 用 
的 。 一 些 声 称 是 数 年 前 签名 的 假 文 件 便 可 能 出 现 , 这 将 引起 混乱 ,政府 可 能 倒台 ,混乱 状 
态 可 能 盛行 。 理 论 上 这 种 协议 或 许 是 可 行 的 ,但 实际 上 不 能 很 好 运转 。 


3.5.3 数字 签名 树 


Ralph Merkle 提出 了 一 种 基于 密 钥 密码 的 数字 签名 方案 ,该 方案 利用 树 形 结 构 产 生 
无 限 多 的 一 次 性 签名 。 这 个 方案 的 基本 思想 是 在 某 些 公开 文档 中 放 入 树 的 根 文件 ,从 而 
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认证 它 。 根 节点 对 一 个 信息 签名 ,并 认证 树 中 的 子 节点 ,这 些 节点 的 每 一 个 都 对 信息 签 
名 ,并 对 它 的 子 节点 认证 ,一直 延续 下 去 。 


3.5.4 使 用 公 钥 密码 对 文件 签名 


有 几 种 公 钥 算法 可 以 用 作 数 字 签 名 。 有 些 算法 ,例如 RSA, 公 钥 或 者 私 钥 都 可 用 作 
加 密 。 如 果 用 私 钥 加 密 文件 ,就 有 了 安全 的 数字 签名 .任何 人 都 可 以 用 对 应 的 公 钥 来 判断 
这 份 文件 是 否 为 该 私 钥 持 有 者 加 的 密 , 也 就 是 所 谓 的 签名 。 

使 用 公 钥 密码 签名 文件 的 基本 协议 是 : 

(1) A 用 自己 的 私 钥 对 文件 加 密 , 从 而 对 文件 签名 。 

(2) A 将 签名 的 文件 传 给 B。 

(3) BH A 的 公 钥 解密 文件 ,从 而 验证 签名 。 

这 个 协议 与 以 前 的 算法 相 比较 好 ,因为 不 需要 工 去 签名 和 验证 ,而 只 需要 证 明 A 的 
公 钥 的 确 是 自己 的 。 甚 至 连 协议 的 双方 都 不 需要 工 来 解决 争端 。 假 设 B 不 能 完成 步 
FRCS) ,那么 他 就 可 以 知道 签名 是 无 效 的 。 

这 个 协议 也 可 以 满足 大 家 期 待 的 签名 特征 : 

(1) 签名 是 可 信和 的 。 当 B 用 A 的 公 钥 验证 信息 时 ,就 知道 是 由 A 签名 的 。 

(2) 签名 是 不 可 伪造 的 。 只 有 A 知道 她 的 私 钥 。 

(3) 签名 是 不 可 重用 的 。 签 名 是 文件 的 函数 ,并 且 不 可 能 转换 成 男 外 的 文件 。 

(4) 被 签名 的 文件 是 不 可 改变 的 。 如 果 文 件 有 任何 改变 ,文件 就 不 可 能 用 A 的 公 

(5) 签名 是 不 可 抵赖 的 。B 不 用 A 的 帮助 就 能 验证 A 的 签名 。 


3.5.5 文件 签名 和 时 间 标 记 


在 上 述 使 用 公 钥 的 签名 方案 中 ,B 在 某 些 情况 下 可 以 欺骗 A。 比 如 , 当 他 把 签名 和 文 
件 一 起 重用 的 时 候 , 如 果 A 在 合同 上 签名 ,这 种 重用 不 会 有 什么 问题 。 但 如 果 A 在 一 张 
数字 支票 上 签名 ,这 样 做 就 可 能 有 问题 。 

设想 ,假若 A 交 给 B 一 张 100 美元 的 签名 数字 支票 ,B 把 支票 拿 到 银行 去 验证 签名 ， 
然后 把 钱 从 A 的 账户 上 转 到 自己 的 账 上 。 如 果 B 是 一 个 无 耻 之 徒 , 保 存 了 数字 支票 的 副 
本 。 过 了 一 星期 ,他 又 把 数字 支票 拿 到 银行 (或 者 可 能 是 另 一 个 银行 ) ,银行 验证 数字 支票 
并 把 钱 转 到 他 的 账 上 。 只 要 A 不 去 对 支票 本 清 账 ,B 就 可 以 一 直 这 样 干 下 去 。 

因此 ,与 纸 质 文件 上 的 签名 一 样 ,数字 签名 也 经 常 需要 包含 时 间 标 记 。 把 对 日 期 和 时 
间 的 签名 附 在 信息 中 ,并 跟 信息 中 的 其 他 部 分 一 起 签名 。 在 上 面 的 例子 中 ,银行 将 时 间 标 
记 存 储 在 数据 库 中 。 这 样 , 当 B 第 二 次 想 支 取 A 的 支票 时 ,银行 就 要 检查 时 间 标 记 是 否 
和 数据 库 中 的 一 样 。 由 于 银行 已 经 从 A 的 支票 上 支付 了 这 一 时 间 标 记 的 支票 ,就 不 能 


3.5.6 用 公 钥 密码 和 单 向 Hash 算法 对 文件 签名 
在 实际 的 实现 过 程 中 ,采用 公 钥 密码 算法 对 长 文件 签名 效率 太 低 。 为 了 节约 时 间 和 
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成 本 开销 ,数字 签名 协议 经 常 和 单 向 Hash 算法 一 起 使 用 。 这 种 情况 下 ,签名 者 A 并 不 是 
对 整个 文件 签名 ,而 只 是 对 文件 的 Hash 值 签名 。 在 下 面 这 个 协议 中 , 单 向 Hash 算法 和 
数字 签名 算法 是 事先 就 协商 好 的 。 

(1) A 产生 文件 的 单 向 Hash 值 。 

(2) A 用 她 的 私 钥 对 Hash 值 加 密 ,和 赁 此 表示 对 文件 签名 。 

(3) A 将 文件 和 Hash 值 加 密 的 结果 送 给 B。 

(4) B 用 A 发 送 的 文件 产生 文件 的 单 向 Hash 值 ,然后 用 A 的 公 钥 对 签名 的 Hash 
值 进行 解密 。 如 果 接 收 到 的 签名 Hash 值 与 自己 运算 产生 的 Hash 值 匹配 ,签名 就 是 有 
效 的 。 

这 样 一 来 计算 速度 就 会 大 大 地 提高 ,并 且 两 个 不 同 的 文件 有 相同 的 160 比特 Hash 
值 的 概率 为 1/2% 。 因 此 ,使 用 Hash 算法 的 签名 和 文件 签名 一 样 安全 。 

这 个 协议 还 有 其 他 优点 。 首 先 , 签 名 和 文件 可 以 分 开 保存 。 其 次 ,接收 者 对 文件 和 签 
名 的 存储 量 要 求 大 大 降低 了 。 档 案 系统 可 用 这 类 协议 来 验证 文件 的 存在 而 不 需 保 存 它 们 
的 内 容 。 中 央 数 据 库 只 存储 各 个 文件 的 Hash 值 ,根本 不 需要 看 文件 。 用 户 将 文件 的 
Hash 值 传 给 数据 库 ,然后 数据 库 对 提交 的 文件 加 上 时 间 标 记 并 保存 。 如 果 以 后 有 人 对 
某 文件 的 存在 发 生 争 执 , 数 据 库 可 通过 找到 文件 的 Hash 值 来 解决 争端 。 这 里 可 能 牵扯 
到 大 量 的 隐秘 : A 可 能 有 某 文件 的 版 权 , 但 仍 保持 文 件 的 秘密 。 只 有 当 她 想 证 明 她 的 版 
权时 ,她 才 不 得 不 把 文件 公开 。 


3.5.7 多重 签 名 方案 


本 小 节 介 绍 A 和 了 如何 对 同一 数字 文件 进行 签名 。 如 果 不 用 单 向 Hash 算法 ,有 两 
种 选择 ,如 下 : 

第 一 种 选择 是 A 和 也 分 别 对 文件 的 副本 签名 ,结果 签名 的 信息 是 原文 的 两 倍 。 

第 二 种 选择 就 是 A 首先 签名 ,然后 B 对 A 的 签名 再 进行 签名 ,这 是 可 行 的 ,但 是 在 不 
验证 B 的 签名 的 情况 下 就 验证 A 的 签名 是 不 可 能 的 。 

如 果 采 用 单 向 Hash 算法 , 则 采用 下 述 协 议 过 程 进行 多 重 签名 : 

A) A 对 文件 的 Hash 值 签名 。 

(2) B 对 文件 的 Hash 值 签名 。 

(3) B 将 他 的 签名 交 给 A。 

(4) A 把 文件 ,她 的 签名 和 B 的 签名 发 给 Co 

(5) C 验证 A 和 B 的 签名 。 

A 和 B 可 以 同时 或 顺序 地 完成 步骤 (1) 和 步骤 (2) ,到 步骤 (5),C 可 以 只 验证 其 中 一 
人 的 签名 而 不 用 验证 男 一 人 的 签名 。 


3.5.8 抗 抵赖 的 数字 签名 


抵赖 的 情形 是 指 , 签 名 者 A 利用 数字 签名 进行 欺骗 ,她 先 对 文件 签名 ,然后 声称 并 没 
有 签名 。 
例如 ,A 先 按 常规 对 文件 签名 ,然后 却 以 匿名 的 形式 发 布 她 的 私 钥 , 或 故意 把 私 钥 丢 
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失 在 公共 场所 ,或 者 假装 做 上 面 两 者 中 的 一 种 。 这 样 ,发 现 该 私 钥 的 任何 人 都 可 装 成 是 A 
对 文件 签名 。 于 是 A 就 可 以 声明 她 的 签名 受到 侵害 ,其 他 人 正在 假装 她 签名 等 。 签 名 者 
否认 对 文件 的 签名 和 任何 其 他 的 用 她 的 私 钥 签名 的 文件 ,这 叫做 抵赖 。 

一 般 采 用 时 间 标 记 可 以 限制 这 种 欺骗 。 但 实际 情况 下 ,故意 的 抵赖 者 A 总 可 以 声称 
她 的 密 钥 在 之 前 就 丢失 了 。 如 果 A 把 事情 做 得 好 ,她 就 可 以 先 对 文件 签名 ,然后 成 功 地 
声称 并 没有 对 文件 签名 。 这 就 是 为 什么 要 求 把 私 钥 隐藏 在 防 拆 的 模块 中 ,这 样 一 来 ,A 
就 不 可 能 接近 和 乱用 私 钥 了 。 

虽然 没有 办 法 阻止 这 种 可 能 的 乱用 .但 可 以 采取 措施 保证 旧 的 签名 不 会 失效 。 采 用 
数字 签名 文件 的 接收 者 持 有 签名 的 时 间 标 记 的 方案 就 能 解决 这 个 问题 。 

一 般 的 协议 过 程 是 : 

(1) A 对 信息 签名 。 

(2) A 产生 一 个 报头 ,报头 中 包含 有 认证 信息 。A 把 报头 和 签名 的 信息 连接 起 来 ,对 
连接 的 信息 签名 ,然后 把 签名 的 信息 发 给 工 。 

G) 工 验 证 外 面 的 签名 ,并 确认 认证 信息 。 工 在 A 签名 信息 中 增加 一 个 时 间 标 记 和 
认证 信息 。 然 后 对 所 有 的 信息 签名 ,并 把 它 发 给 B 和 A。 

(4) B 验证 的 签名 、 认 证 信息 和 A 的 签名 。 

G) A RHET EA B 的 信息 。 如 果 A 的 确 没 有 发 起 并 签名 这 个 信息 ,她 很 快 就 会 

另 一 个 方案 是 在 事后 有 劳 T。B 在 接收 到 签名 信息 后 ,可 能 把 副本 发 给 工 验证 , 工 能 
够 证 实 A 的 签名 的 有 效 性 。 


3.5.9 数字 签名 的 国际 应 用 


数字 签名 最 早 的 建议 应 用 之 一 是 用 来 对 禁止 核 试验 条 约 的 验证 。 美 国 和 前 苏联 互相 
允许 把 地 震 测 试 仪 放 入 另 一 个 国家 中 ,以 便 对 核 试验 进行 监控 。 问 题 是 每 个 国家 需要 确 
信和 东道 国 没有 算 改 从 监控 国家 的 地 震 仪 传 来 的 数据 。 同 时 ,东道 主 国家 需要 确信 监测 器 
只 发 送 规 定 的 需要 监测 的 信息 。 

传统 的 认证 技术 能 解决 第 一 个 问题 ,但 只 有 数字 签名 能 同时 解决 两 个 问题 。 东 道 国 
一 方 只 能 读 , 但 不 能 算 改 从 地 震 测 试 仪 传 来 的 数据 ; 而 监督 国 则 可 以 确信 数据 没有 被 
A. 


3.6 本 章 重 点 和 难点 


本 章 是 关于 安全 协议 中 需要 用 到 的 有 关 密 码 学 知识 ,重点 在 3. 1 节 密 码 学 与 安全 协 
议 的 关系 、3. 3 节 利 用 密码 算法 建立 安全 通信 信道 的 原理 ,以 及 3. 5 节 数 字 签 名 原理 。 

本 章 的 难点 是 ,对 数字 签名 技术 的 理解 。 建 议 对 本 科 生 只 讲 3. 5. 1 节 、3. 5. 2 节 和 
3. 5.4 节 ,研究 生 视 情况 扩大 到 3.5.5 节 和 3.5.6 节 。3.5 节 中 其 余部 分 可 用 于 自学 ,以 
扩大 阅读 范围 。 
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习题 与 思考 题 
.协议 的 定义 是 什么 ? 
. 试 述 安全 协议 在 信息 系统 中 的 作用 和 意义 。 


1 
2 
3 
4 
5. 
6 
7 
8 
9. 
1 


. 试 分 析 和 评价 不 使 用 密码 算法 的 安全 协议 的 安全 性 。 

. 混合 密码 系统 可 以 解决 什么 问题 ? 

用 形式 化 语言 设计 一 个 使 用 对 称 密码 技术 建立 安全 通信 的 协议 。 

. 用 形式 化 语言 设计 一 个 使 用 非 对 称 密码 技术 建立 安全 通信 的 协议 。 
. 用 形式 化 语言 设计 一 个 带 重 发 的 数字 加 密 协 议 。 

. 用 形式 化 语言 设计 一 个 重 发 攻击 过 程 。 

试 设计 采用 树 形 管 理 方式 ,使 用 对 称 密码 系统 建立 安全 通行 的 协议 。 
0. 采用 对 称 密码 系统 , 试 设计 一 个 可 以 抗 抵赖 的 数字 签名 协议 。 

. 论述 伪 随 机 序列 对 于 安全 系统 的 作用 ,及 其 评价 准则 和 意义 。 


第 Ge 基本 安全 协议 


本 章 介绍 基本 的 安全 协议 。 

本 章 共 有 9 个 小 节 , 第 4. 1 节 介 绍 安全 协议 的 分 类 ; 第 4. 2 节 介 绍 密 钥 交换 协议 ; 
第 4. 3 节 介 绍 认证 协议 ; 第 4.4 节 介 绍 认 证 和 密 钥 交 换 协议 ; 第 4. 5 节 介 绍 多 密 钥 公 开 
密码 系统 ; 第 4.6 节 介 绍 秘密 分 割 ; 第 4.7 节 介 绍 秘密 共享 ; 第 4. 8 节 介 绍 数据 库 的 密 
码 保护 ; 第 4.9 节 是 本 章 重点 和 难点 分 析 。 

在 过 去 二 十 年 中 ,网 络 和 分 布 式 系 统 的 大 量 使 用 给 网 络 的 使 用 者 提供 了 巨大 的 网 络 
资源 ,通过 网 络 进行 传递 和 共享 的 信息 越 来 越 多 ,在 网 络 传输 过 程 中 的 安全 问题 也 越 来 越 
得 到 更 多 的 关注 ,尤其 是 近年 来 , 随 着 电子 商务 的 发 展 ,对 于 安全 的 要 求 更 是 迫切 ,而 安全 
协议 在 其 中 起 着 至 关 重 要 的 地 位 。 

安全 协议 的 定义 : 安全 协议 是 建立 在 密码 体制 基础 上 的 一 种 通信 协议 ,计算 机 网 络 
或 分 布 式 系统 中 的 参与 者 通过 安全 协议 的 消息 传递 ,借助 于 密码 算法 来 达到 密 钥 分 配 、 身 
份 认证 、 信 息 保 密 以 及 安全 地 完成 电子 交易 等 目的 。 

安全 协议 是 一 种 通信 协议 , 它 的 主要 目的 是 利用 密码 技术 实现 网 络 通信 中 的 密 钥 分 
发 和 身份 认证 。 安 全 协议 是 网 络 通信 安全 系统 的 基础 ,是 实现 计算 机 网 络 安 全 的 关键 。 
然而 ,大 量 事实 表明 ,有 许多 安全 协议 经 过 安全 专家 认真 仔细 地 分 析 、 设 计 和 实现 后 仍然 
存在 漏洞 ,有 些 甚 至 在 使 用 许多 年 后 才 被 发 现 有 漏洞 。 

安全 协议 的 目标 分 为 认证 性 、 非 否认 性 、 可 追究 性 、 公 平 性 4 种 ,其 中 ,认证 性 应 用 最 
为 广泛 和 重要 。 


4.1 安全 协议 的 分 类 


在 计算 机 网 络 和 分 布 式 系统 中 . 当 进 行 资源 访问 控制 或 通信 时 ,一 方 主体 (包括 用 户 、 
进程 计算机、 服务 等 ) 需 要 证 实 男 一 方 主体 的 身份 .甚至 还 需要 在 主体 间 分 配 密 钥 或 是 其 
他 的 秘密 信息 。 安 全 认证 协议 就 是 用 来 描述 主体 之 间 如 何 证 实 身 份 以 及 分 配 秘密 的 , 通 
常 由 一 系列 主体 之 间 交 换 消 息 组 成 。 认 证 可 能 涉及 两 方 或 是 多 方 主体 (如 密 钥 分 配 中心 
等 ) ,可 能 是 单 向 认证 或 相互 认证 ,也 可 能 使 用 对 称 或 是 非 对 称 密 钥 系统 。 认 证 协议 是 网 
络 安全 性 的 基础 ,即使 建立 在 完善 密码 系统 上 的 认证 协议 仍然 可 能 存在 各 种 各 样 的 安全 
漏洞 。 

安全 协议 有 多 种 分 类 方法 .一 种 方法 根据 参与 者 以 及 密码 算法 的 使 用 情况 进行 分 类 ， 
可 以 分 为 7 类 。 

(1) 无 可 信 第 三 方 的 对 称 密 钥 协 议 。 属 于 这 一 类 的 典型 协议 包括 以 下 ISO 系列 协 
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议 : ISO 对 称 密 钥 一 遍 单 边 认 证 协议 ISO 对 称 密 钥 二 遍 单 边 认 证 协议 .ISO 对 称 密 钥 二 
遍 相互 认证 协议 、ISO 对 称 密 钥 三 遍 相互 认证 协议 .Andrew 安全 RPC 协议 等 。 

(2) 应 用 密码 校 验 了 清 数 (cryptographic check functions) 的 认证 协议 。 属 于 这 一 类 的 
典型 协议 包括 以 下 ISO 系列 协议 : ISO 应 用 CCF 的 一 遍 单 边 认证 协议 ISO 应 用 CCF 的 
二 遍 单 边 认证 协议 ISO 应 用 CCF 的 二 遍 相互 认证 协议 ISO 应 用 CCF 的 三 遍 相 互 认 证 
协议 。 

(3) 具有 可 信 第 三 方 的 对 称 密 钥 协议 。 属 于 这 一 类 的 典型 协议 包括 Needham- 
Schroeder( 共 享 密 钥 型 ) 协 议 、.Otway-Rees 协议 、Yahalom 协议 、 大 嘴 青 蛙 协 议 、Denning- 
Sacco 协议 .Woo-Lam 协议 等 。 

(4) 使 用 对 称 密 钥 的 签名 协议 。 例 如 Needham-Schroeder 签名 协议 。 

(5) 使 用 对 称 密 钥 的 重复 认证 协议 。 属 于 这 一 类 的 典型 协议 有 Kerberos 协议 版 本 
5、Neuman-Stubble-bine 协议 .Kao-Chow 重复 认证 协议 等 。 

(6) 无 可 信 第 三 方 的 公 钥 协议 。 属 于 这 一 类 的 典型 协议 包括 以 下 ISO 系列 协议 : 
ISO 公 钥 一 遍 单 边 认 证 协议 ISO 公 钥 二 遍 单 边 认证 协议 ISO 公 钥 二 遍 相互 认证 协议 、 
ISO 公 钥 三 遍 相 互 认证 协议 ISO 公 钥 二 遍 并 行 相互 认证 协议 .Diffie-Hellman 协议 等 。 

(7) 具有 可 信 第 三 方 的 公 钥 协议 。 属 于 这 一 类 的 典型 协议 有 Needham-Schroeder 
(公开 密 钥 型 ) 协 议 等 。 

这 种 分 类 方法 比较 零乱 ,本 书 采 用 下 述 分 类 方法 ,按照 协议 完成 的 功能 进行 划分 ,可 
以 分 成 以 下 4 类 : 

(1) 密 钥 交换 协议 。 一 般 情 况 下 ,是 在 参与 协议 的 两 个 或 者 多 个 实体 之 间 建 立 共 享 
的 密 钥 ,通常 用 于 建立 在 一 次 通信 中 所 使 用 的 会 话 密 钥 。 协 议 可 以 采用 对 称 密码 体制 ,也 
可 以 采用 非 对 称 密码 体制 ,例如 Diffie-Hellman 密 钥 交换 协议 。 

(2) 认证 协议 。 认 证 协议 中 包括 实体 认证 (身份 认证 ) 协 议 .消息 认证 协议 ` 数 据 源 认 
证 协议 和 数据 目的 认证 协议 等 ,用 来 防止 假冒 . 算 改 .和 否认 等 攻击 。 

(3) 认证 和 密 钥 交换 协议 。 这 类 协议 将 认证 和 密 钥 交换 协议 结合 在 一 起 ,是 网 络 通 
信 中 最 普遍 应 用 的 安全 协议 。 常 见 的 有 Needham-Schroeder 协议 .分布 认证 安全 服务 
(DASS) 协 议 ITU-TX. 509 认证 协议 等 。 

(A) 电子 商务 协议 。 与 上 述 协议 不 同 的 是 .电子 商务 协议 中 的 参与 者 往往 代表 交易 
的 双方 ,其 利益 目标 是 不 一 致 的 ,甚至 根本 就 是 矛盾 的 。 因 此 ,电子 商务 协议 最 为 关注 的 
就 是 公平 性 , 即 协议 应 保证 交易 双方 都 不 能 通过 损害 对 方 利益 而 得 到 它 不 应 得 的 利益 。 
另外 ,电子 商务 协议 关心 的 还 有 原则 性 问题 。 例 如 SET 协议 等 。 


4.2 密 钥 交换 协议 


应 用 密码 算法 的 前 提 是 通信 双方 具有 相应 的 加 密 和 解密 密 钥 ,对 这 些 密 钥 进行 发 布 
或 协商 的 协议 称 为 密 钥 交换 协议 。 通 常 的 密码 技术 是 用 单独 的 密 钥 对 每 一 次 单独 的 会 话 
加 密 , 这 个 密 钥 称 为 会 话 密 钥 ,因为 它 只 在 一 次 特殊 的 通信 中 使 用 。 会 话 密 钥 只 用 于 通信 
期 间 。 这 个 会 话 密 钥 怎么 到 达 会 话 者 的 手中 是 很 复杂 的 事情 。 
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由 于 存在 两 种 不 同 的 密码 体制 ,对 称 密码 体制 和 非 对 称 密码 体制 ,不同 体制 下 对 密 铀 
的 安全 性 有 不 同 要 求 , 相 应 的 密 钥 分 配 协议 要 求 具有 不 同 的 安全 性 质 。 


4.2.1 使 用 对 称 密码 的 密 钥 交换 协议 


采用 对 称 密码 体制 时 ,通信 双方 使 用 同一 个 钥 码 进行 信息 的 加 密 和 解密 。 密 钥 交换 
协议 的 目的 是 使 通信 双方 共同 拥有 这 个 密 钥 。 因 而 ,对 密 钥 交换 协议 的 安全 要 求 包 括 以 
下 内 容 。 

D 秘密 性 : 保证 非法 主体 不 能 获知 该 密 钥 。 

D 完整 性 : 保证 双方 拥有 的 是 同一 个 密 钥 。 

© 可 用 性 : 保证 密 钥 交换 协议 最 终 可 以 执行 结束 ,并 且 在 协议 执行 结束 后 双方 可 以 
建立 起 密 钥 。 

这 类 协议 假设 网 络 上 的 用 户 A 和 BB 每 人 与 密 钥 分 配 中心 (KDC) 共 享 一 个 密 钥 ,下 面 
的 协议 中 KDC 用 工 表 示 。 

在 协议 开始 执行 前 ,这 些 密 钥 必 须 在 适当 的 位 置 。 在 这 里 ,协议 忽略 了 怎么 使 密 钥 处 
在 适当 的 位 置 , 即 怎么 分 配 这 些 密 钥 这 个 非常 实际 的 问题 ,只 是 假设 它们 已 经 在 适当 的 位 
置 , 并 且 M 不 知道 。 

(1) A 呼叫 全 ,并 请 求 一 个 与 B 通信 的 会 话 密 钥 。 

(2) 工 产生 一 随机 会 话 密 钥 ,并 对 它 的 两 个 副本 加 密 : 一 个 用 A 的 密 钥 , 另 一 个 用 BB 
的 密 钥 加 密 ,T 发 送 这 两 个 副本 给 A。 

(3) A 对 她 的 会 话 密 钥 的 副本 解密 。 

(4) A B 的 会 话 密 钥 副本 送 给 Bo 

(5) B 对 他 的 会 话 密 钥 的 副本 解密 。 

(6) A 和 B 用 这 个 会 话 密 钥 安全 地 通信 。 

这 个 协议 依赖 于 工 的 绝对 安全 性 。T 可 能 是 可 信 的 计算 机 程序 ,而 不 是 可 信和 的 
ERa 
如 果 M 破坏 了 全, 整个 网 络 都 会 遭受 损害 : 他 有 工 与 每 个 用 户 共 享 的 所 有 密 钥 ; 他 
可 以 读 所 有 过 去 和 将 来 的 通信 业务 。 他 所 做 的 事情 就 是 对 通信 线路 进行 搭 线 窃听 ,并 监 
视 加 密 的 报 文 业务 。 

这 个 系统 的 另 一 个 问题 是 工 可 能 会 成 为 “瓶颈 ?”。 他 必须 参与 每 一 次 密 钥 交换 ,如 果 
工 失 败 了 ,这 个 系统 就 会 被 破坏 。 


4.2.2 使 用 公开 密 钥 密码 的 密 钥 交换 协议 


采用 非 对 称 密码 体制 时 ,通信 双方 各 拥有 一 对 密 钥 , 称 为 公开 密 钥 和 私有 密 钥 。 公 开 
密 钥 可 以 向 外 界 公 布 ,由 其 他 协议 参与 者 用 来 对 消息 进行 加 密 、 解 密 或 签名 验证 ; 私有 密 
钥 不 对 外 公开 ,由 密 钥 所 属 者 用 来 相应 地 对 消息 进行 解密 、 加 密 或 签名 。 此 时 所 谓 的 密 钥 
分 配 是 指 对 公开 密 钥 进行 发 布 。 密 钥 分 配 协议 的 目的 是 使 通信 双方 彼此 知道 对 方 的 公开 
密 钥 ,因而 ,对 密 钥 分 配 协议 的 安全 要 求 如 下 。 

D ERE: 保证 接收 方 收 到 的 密 钥 确实 是 发 送 方 的 公开 密 钥 。 
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@ 可 用 性 : 保证 密 钥 分 配 协议 最 终 可 以 执行 结束 ,并 且 通 信 双 方 最 终 可 以 得 到 对 方 
的 公开 密 钥 。 

在 这 类 协议 中 ,A M B 使 用 公开 密 钥 密码 协商 会 话 密 钥 ,并 用 协商 的 会 话 密 钥 加 密 
数据 。 在 一 些 实际 应 用 中 ,A 和 B 签 了 名 的 公开 密 钥 可 在 数据 库 中 获得 。 这 使 得 密 钥 交 
换 协 议 更 容易 ,即使 B 从 来 没有 听 说 过 A.A 也 能 够 把 信息 安全 地 发 送 给 Bo 

(1) A 从 KDC 得 到 B 的 公开 密 钥 。 

(2) A 产生 随机 会 话 密 钥 ,用 B 的 公开 密 钥 加 密 它 ,然后 传 给 Bo 

(3) B 用 自己 的 私 钥 解 密 A 的 信息 。 

(4) A,B 两 人 用 同一 会 话 密 钥 对 他 们 的 通信 进行 加 密 。 


4.3 认证 协议 


当 A 登录 计算 机 (或 自动 柜员 机 、 电 话 银行 系统 ,或 其 他 的 终端 类 型 ) 时 ,计算 机 怎么 
知道 并 确认 她 是 谁 呢 ? 这 需要 用 认证 协议 来 解决 。 

传统 的 办 法 是 用 通行 字 来 解决 这 个 问题 。A 先 输入 她 的 通行 字 , 然 后 计算 机 确认 这 
个 通行 字 是 正确 的 ,从 而 推断 出 登录 的 人 是 A。A 和 计算 机 两 者 都 知道 这 个 秘密 通行 字 ， 
而 且 A 每 次 登录 时 ,计算 机 都 要 求 A 输入 通行 字 。 


4.3.1 利用 单 向 函数 的 认证 


实际 上 ,在 使 用 的 时 候 , 没 有 必要 让 计算 机 存储 通行 字 。 计 算 机 只 要 有 了 能力 区 别 有 效 
通行 字 和 无 效 通行 字 就 行 。 

这 种 思路 可 以 用 单 向 函数 来 实现 。 计 算 机 存储 通行 字 的 单 向 函数 而 不 是 存储 通行 
字 。 这 样 ,认证 过 程 如 下 : 

(1) A 将 她 的 通行 字 传送 给 计算 机 。 

C2) 计算 机 完成 通行 字 的 单 向 函数 计算 。 

G) 计算 机 把 单 向 函数 的 运算 结果 和 它 以 前 存储 的 值 进行 比较 。 

这 样 ,由 于 计算 机 不 再 存储 每 人 的 有 效 通 行 字 表 , 所 以 某 些 人 侵入 计算 机 ,并 偷 取 通 
行 字 的 威胁 就 减少 了 。 由 通行 字 的 单 向 函数 生成 通行 字 表 是 没 用 的 ,因为 单 向 函数 不 可 
能 逆向 恢复 出 通行 字 。 

但 是 ,用 单 向 函数 加 密 的 通行 字 文 件 还 是 脆弱 的 。 例 如 ,M 可 以 在 业余 时 间 编 制 100 
万 个 最 常用 的 通行 字 表 ,用 单 向 函数 对 所 有 100 万 个 通行 字 进 行 运 算 , 并 将 结果 存储 起 
来 。 如 果 每 个 通行 字 大 约 是 8 个 字 节 ,运算 结果 的 文件 不 会 超过 8MB。 

现在 M 偷 出 加 密 的 通行 字 文件 。 把 加 密 的 通行 字 和 已 加 密 的 可 能 通行 字 文 件 进行 
比较 ,再 观察 哪个 能 匹配 。 这 就 是 字典 式 攻击 , 它 的 成 功率 非常 高 。Salt 是 使 这 种 攻击 更 
困难 的 一 种 方法 。 

Salt 是 一 种 随机 字符 串 ,与 通行 字 连 接 在 一 起 ,再 用 单 向 函数 对 其 运算 。 然 后 将 Salt 
值 和 单 向 函数 运算 的 结果 存 人 主机 数据 库 中 。 

如 果 Salt 值 可 能 的 数目 足够 大 ,实际 上 就 消除 了 对 常用 通行 字 采 用 的 字典 式 攻击 。 
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因此 M 不 得 不 产生 每 个 可 能 的 Salt 值 的 单 向 Hash 值 。 这 是 初始 化 矢量 的 简单 尝试 。 

这 里 的 关键 是 当 M 试图 破译 其 他 人 的 通行 字 时 ,要 迫使 他 不 得 不 每 次 试验 字典 里 的 
每 个 通行 字 的 加 密 ,而 不 是 只 对 可 能 的 通行 字 进 行 预先 计算 。 

使 用 较 大 的 Salt 是 必需 的 ,大 多 数 Unix 系统 仅 使 用 12 比特 的 Salt。 但 是 ， 
DanielKlein 开发 了 一 个 猜测 通行 字 的 程序 .在 大 约 一 星期 的 时 间 里 ,经 常 能 破译 出 一 个 
给 定 的 系统 中 的 40% 的 通行 字 。DavidFeld-meier 和 PhilipKarn 编辑 了 大 约 732 000 个 
常用 的 通行 字 表 , 表 中 的 通行 字 都 和 4096 个 可 能 的 Salt 值 中 的 每 个 值 有 联系 。 采 用 这 
张 表 ,他 们 估计 在 一 给 定 系统 中 ,大 约 能 够 破译 出 30% 的 通行 字 。 

Salt 不 是 万 灵 药 ,增加 Salt 的 比特 数 不 能 解决 所 有 问题 。Salt 只 能 防止 对 通行 字 文 
件 采 用 的 一 般 的 字典 式 攻 击 ,不 能 防止 对 通行 字 的 一 致 攻击 。 通 常情 况 下 ,有 不 少 人 习惯 
在 多 个 机 器 上 有 相同 的 通行 字 , 这 样 做 比 选用 拙劣 的 通行 字 更 为 危险 。 


4.3.2 SKEY 认证 


SKEY 是 一 种 认证 程序 ,又 称 为 一 次 性 通行 字 系 统 Cone-time password system), 依 
赖 于 单 向 函数 的 安全 性 ,采用 MD4 或 MD5 算法 。 

在 认证 之 前 ,需要 先 配置 系统 ,配制 方法 是 : A 输入 随机 数 RR, 以 及 使 用 次 数 n, 计 算 机 
计算 通行 字 FOR) CCR)) GCCR))) 等 ,假如 计算 次 数 n= 100 次 。 分 别 用 xi s Xes Xot 
xio 来 表示 。 其 中 ,xioo =fCR) » X99 = fC x100 ) » Xos = ÍC Xo ) 等 。 

计算 机 打印 出 这 些 数 的 列表 ,人 A 把 它们 妥善 保管 。 计 算 机 在 登录 数据 库 中 A 的 名 字 
后 面 存储 100 个 计算 出 来 的 值 。 

当 A 第 一 次 登录 时 ,输入 她 的 名 字 和 xio ,计算 机 计算 f(xao) ,并 把 它 和 xs 比较 ,如 
果 它 们 匹配 ,那么 可 以 证 明 A 的 身份 是 真 的 。 然 后 .计算 机 更 新 数据 库 , 消 去 xaoo 。 同 时 
A 也 从 她 的 列表 中 消去 xo 。 

这 样 ,A 在 第 i 次 登录 时 .输入 她 的 列表 中 未 取消 的 最 后 的 数 xiomi ;而 计算 机 则 计 
PE f(xioo-ir1) ,并 和 存储 在 它 的 数据 库 中 的 xioo-; 比 较 。 如 果 匹 配 , 则 完成 认证 ,计算 机 和 
A 都 从 各 自 的 数据 中 消去 xoi; 如 果 不 匹 配 , 则 认证 失败 。 

因为 每 个 数 x; 只 被 用 一 次 ,并 且 采 用 的 函数 是 单 向 的 ,所 以 玉 不 可 能 得 到 任何 有 用 
的 信息 。 同 样 , 数 据 库 对 攻击 者 也 上 毫 无 用 处 。 

当然 , 当 A 用 完了 列表 上 面 的 数据 后 ,必须 重新 初始 化 系统 。 

4.3.3 采用 公开 密 钥 密码 的 认证 

严格 地 说 ,采用 通行 字 方 案 登 录 计 算 机 进行 认证 的 协议 有 严重 的 安全 问题 。 当 A 将 
她 的 通行 字 发 给 主机 时 ,能 够 进入 数据 通道 的 任何 人 都 可 读 取 她 的 通行 字 。 如 此 一 来 ,就 
可 以 访问 她 的 主机 ,在 信道 的 任何 一 点 都 有 可 能 窃听 A 的 登录 序列 。 如 果 王 可 以 存 取 
主机 的 处 理 机 存储 器 ,那么 在 主机 对 通行 字 进 行 Hash 运算 前 ,E 都 能 够 看 到 通行 字 。 

利用 公开 密 钥 密码 可 以 解决 这 个 问题 。 主 机 保存 每 个 用 户 的 公开 密 钥 文件 ,所 有 用 
户 保存 自己 的 私 钥 。 这 里 给 出 一 个 协议 。 当 登录 时 ,协议 按 下 面 进行 : 

(1) 主机 发 送 一 个 随机 字符 串 给 A。 
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(2) A 用 她 的 私 钥 对 此 随机 字符 串 加 密 ,并 将 此 字符 串 和 她 的 名 字 一 起 传送 回 主机 。 

(3) 主机 在 它 的 数据 库 中 查找 A 的 公开 密 钥 ,并 用 公开 密 钥 解 密 。 

(4) 如 果 解 密 后 的 字符 串 与 主机 在 步骤 (1) 中 发 送 给 A 的 字符 串 匹 配 , 则 允许 A 访 
问 系 统 。 

这 样 就 没有 其 他 人 能 得 到 A 的 密 钥 .因此 也 就 不 可 能 有 任何 人 冒充 A。 更 重要 的 
是 ,A 绝 不 会 在 传输 线路 上 将 她 的 私 钥 发 送 给 主机 。 窃 听 这 个 交互 过 程 中 的 下 ,也 就 不 可 
能 得 到 任何 信息 来 推导 出 A 的 私 钥 ,从 而 冒充 A。 

因为 私 钥 既 长 又 难 记 ,需要 由 用 户 的 硬件 或 通信 软件 自动 处 理 。 这 就 需要 一 种 A 信 
任 的 智能 终端 。 但 主机 和 通信 线路 都 不 必 是 安全 的 。 

安全 的 身份 证 明 协 议 采 用 下 面 更 复杂 的 形式 : 

(1) A 根据 一 些 随机 数 和 她 的 私 钥 进行 计算 ,并 将 结果 传送 给 主机 。 

(2) 主机 将 一 不 同 的 随机 数 传送 给 A。 

(3) A 根据 这 些 随机 数 (A 产生 的 和 从 主机 接收 的 ) 和 她 的 私 钥 进行 一 些 计算 ,并 将 
结果 传送 给 主机 。 

(4) 主机 用 从 A 那里 接收 来 的 各 种 数据 和 A 的 公开 密 钥 进 行 计算 ,以 此 来 验证 A 是 
否 知道 自己 的 私 钥 。 

(5) 如 果 A 知道 , 则 她 的 身份 就 被 证 实 了 。 

如 果 A 不 相信 主机 ,就 像 主机 不 相信 她 一 样 ,那么 A 将 要 求 主机 用 同样 方式 证 实 其 
身份 。 

步骤 (1) 似 乎 是 不 必要 的 ,但 它 可 以 用 来 阻止 对 协议 的 攻击 。 


4.3.4 用 连锁 协议 互相 认证 


假设 A 和 B 是 想 要 互相 认证 的 两 个 用 户 。 他 们 每 人 有 一 个 男 一 人 知道 的 通行 字 : 
A 的 通行 字 是 Pa.B 的 通行 字 是 PE。 下 面 的 协议 是 行 不 通 的 : 

A) A 和 BB 交换 公 开 密 钥 。 

(2) A 用 B 的 公开 密 钥 加 密 Ps. 并 将 它 传送 给 B。 

(3) B 用 A 的 公开 密 钥 加 密 Ps ,并 发 送 给 A。 

(4) B 解密 他 在 步骤 (2) 中 接收 的 信息 ,并 验证 它 是 否 正 确 。 

(5) A 解密 她 在 步骤 (3) 中 接收 的 信息 .并 验证 它 是 否 正 确 。 

因此 M 可 以 成 功 发 起 “中 间 人 攻击 ”, 这 是 一 种 在 通信 双方 之 间 进 行 恶 意 的 主动 攻击 
以 此 截取 和 破坏 正常 的 信息 交互 的 方式 。 下 面 是 攻击 过 程 : 

A) A 和 B 交换 公开 密 钥 。M 截取 这 两 个 报 文 ,他 用 自己 的 公开 密 钥 代替 B 的 ,并 
将 它 发 送 给 A。 然 后 ,他 又 用 自己 的 公开 密 钥 代替 A 的 ,并 将 它 发 送 给 B。 

(2) A 用 B 的 公开 密 钥 对 Pa 加密. 并 发 送 给 B。M 截取 这 个 报 文 , 用 自己 的 私 钥 对 
Pa 解密 ,再 用 B 的 公开 密 钥 加 密 , 并 将 它 发 送 给 B. 

(3) BH A 的 公开 密 钥 对 Ps 加 密 , 并 发 送 给 A。M 截取 它 , 用 自己 的 私 钥 对 Ps 解 
密 。 再 用 A 的 公开 密 钥 对 它 加 密 , 并 发 送 给 A. 

(4) A 对 Ps 解密 ,并 验证 它 是 正确 的 。 
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O) BX Pa 解密 ,并 验证 它 是 正确 的 。 

从 A 和 B 处 看 并 没有 什么 不 同 , 然 而 M 知道 PA 和 Ps。 如 果 A 是 用 户 ,B 是 主机 ,M 
可 以 假装 是 B 和 A 一 起 完成 协议 的 开始 几 步 ,然后 终止 连接 。 

实施 过 程 要 求 M 通过 模拟 线路 噪声 或 网 络 失 败 来 终止 连接 ,最 终结 果 是 M 得 到 了 
A 的 通行 字 。 然 后 ,M 再 和 B 连接 ,完成 协议 。 这 样 ,M 也 就 有 也 的 通行 字 了 。 

假如 用 户 的 通行 字 比 主机 的 通行 字 更 敏感 ,就 可 以 修改 这 个 协议 ,使 A 给 出 自己 的 
通行 字 之 前 ,让 B 先 给 出 自己 的 通行 字 。 这 样 修改 后 会 导致 一 个 更 加 复杂 的 攻击 过 程 ， 
AS ER 


4.3.5 SKID 协议 


SKID2 和 SKID3 是 为 RACE( 欧 洲 高 级 通信 技术 与 开发 ) 的 RIPE( 完 整 性 基本 评估 ) 
项 目 开 发 的 对 称 密码 识别 协议 。 它 们 都 采用 MAC 来 提供 安全 性 ,并 且 SKID2 和 SKID3 
两 个 协议 都 假设 A 和 B 共享 同一 密 钥 K。 

在 SKID2 中 ,允许 B 向 A 证 明 他 的 身份 。 下 面 是 这 个 协议 的 过 程 : 

A) A 选用 随机 数 Ra RIPE 文件 规定 64 比特 的 数 ) ,并 将 它 发 送 给 B。 

(2) B 选用 随机 数 Re (RIPE 文件 规定 64 比特 的 数 ) ,将 下 面 的 数 发 送 给 A。 

Rs» Hx (Ra ,Rs,B)—A 

(3) Hx 是 MAC(RIPE 文件 建议 的 RIPE-MAC 函数 ),B 是 B 的 名 字 。 

(4) A 计算 Hx (Ra ,Rs,B), 并 和 她 从 B 那里 接收 到 的 信息 比较 ,如 果 结 果 一 致 ,那么 
A 知道 她 正 与 B iÑ fA. 

SKID3 提供 了 A 和 B 之 间 的 相互 认证 。 步 又 (1) 一 步骤 (3) 与 SKID2 是 一 样 的 ,以 
后 的 协议 按 下 面 进行 : 

d) A 向 B 发 送 。 

(2) Hx (Rs, A)—B。 

(3) B 计算 Hx (Rs ,A), 并 将 它 与 从 A 那里 收 到 的 信息 比较 ,如 果 相 同 ,那么 B 相信 
他 正 与 A 通信 。 

这 个 协议 对 中 间 人 攻击 来 说 是 不 安全 的 。 一 般 地 ,中 间 人 攻击 能 够 击败 任何 不 包括 
某 些 秘密 的 协议 。 


4.3.6 信息 认证 


采用 信息 认证 时 ,需要 解决 的 问题 是 , 当 B 从 A 那里 接收 信息 ,他 怎么 判别 接收 到 的 
信息 是 可 信 的 呢 ? 解决 这 个 问题 的 一 个 办 法 是 使 用 签名 技术 ,如 果 A 对 自己 的 信息 进行 
签名 ,就 能 够 使 B 相信 信息 的 来 源 。 

采用 对 称 密码 算法 可 以 提供 一 种 认证 。 当 B 从 A 那里 接收 到 用 他 们 的 共享 密 钥 加 
密 的 信息 时 ,B 就 知道 信息 是 从 A 那里 来 的 ,因为 没有 其 他 人 知道 他 们 的 密 钥 。 

然而 ,要 使 第 三 者 工 相信 这 个 事实 ,这 样 做 还 不 够 ; 因为 B 不 能 (或 者 不 愿 ) 把 信息 
给 工 看 ,并 使 他 相信 这 个 信息 是 从 A 那里 来 的 。T 能 够 确认 的 是 ,信息 的 确 是 从 A 或 B 
那里 来 的 ,因为 没有 其 他 人 共享 他 们 的 密 钥 ,但 是 T 却 没有 办 法 判断 信息 到 底 是 从 谁 那 
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里 来 的 。 
如 果 信 息 没 有 被 加 密 ,A 也 可 以 使 用 MAC。 这 也 可 以 使 B 相信 信息 是 可 信 的 ,但 存 
在 与 上 述 对 称 密码 的 解决 方法 相同 的 信息 来 源 确认 问题 。 


4.4 ”认证 和 密 钥 交换 协议 


本 节 介 绍 几 种 认证 和 密 钥 交换 协议 ,这 些 协议 综合 利用 密 钥 交 换 和 认证 ,要 解决 一 般 
的 计算 机 问题 : A 和 B 分别 坐 在 网 络 的 两 端 ,他 们 想 安 全 地 交谈 。A 和 B 怎么 交换 密 钥 
呢 ? 他 们 中 的 每 个 人 怎么 确信 他 们 当时 正在 同 对 方 交 谈 而 不 是 同 M 谈话 呢 ? 
本 节 要 介绍 的 大 多 数 协议 假设 T 与 参与 者 双方 各 共享 一 个 不 同 的 密 钥 ,并 且 所 有 这 
些 密 钥 在 协议 开始 前 都 在 适当 的 位 置 。 在 这 些 协 议 中 使 用 的 符号 如 表 4-1 所 示 o 
表 4-1 在 认证 和 密 钥 交换 协议 中 使 用 的 符号 


符 ”号 意义 
Ea 用 工 和 A 共享 的 密 钥 加 密 
Ep FI T MBSE eI E 
I 索引 号 

K 随机 会 话 密 钥 

L 生存 期 

Ta» Ta 时 间 标 记 

Ra ,Rs 随机 数 , 分 别 由 A 和 B 选择 


4.4.1 简单 对 称 密 钥 管理 协议 


这 一 协议 也 称 为 大 嘴 青 蛙 (wide-mouth frog) 协 议 , 可 能 是 最 简单 的 对 称 密 钥 管理 协 
议 ,该 协议 使 用 一 个 可 信 的 服务 器 。 

假设 A 和 B 两 人 各 与 共享 一 个 密 钥 。 这 些 密 钥 只 作 密 钥 分 配 用 ,而 不 是 用 作 加 密 
用 户 之 间 的 实际 报 文 。 会 话 密 钥 只 通过 两 个 报 文 就 从 A 传送 给 B, 传 送 过 程 如 下 : 

A) A 将 时 间 标 记 Ta 连同 B 的 名 字 和 随机 会 话 密 钥 K 一 起 ,用 她 和 工 共 享 的 密 钥 
对 整个 报 文 加 密 。 她 将 加 了 密 的 报 文 和 她 的 身份 A 一 起 发 送 给 T. 

A,Ea(T,+B,K)>T 

(2) 工 解密 从 A 来 的 报 文 。 然 后 将 一 个 新 的 时 间 标 记 Ts 连同 A 的 名 字 和 随机 会 话 

密 钥 一 起 ,用 他 与 B 共享 的 密 钥 对 整个 报 文 加密 , 并 将 它 发 送 给 B。 
Ex (Ty-A.K)>B 

该 协议 过 程 如 图 4-1 所 示 。 

在 这 个 协议 中 ,最 重要 的 假设 是 A 能 够 产生 好 的 会 话 密 钥 。 但 是 “好 的 ” 密 钥 , 即 随 
机 的 密 钥 数 是 不 容易 产生 的 。 所 以 ,实际 上 无 法 相信 A 能 够 做 好 这 件 事 。 下 面 这 个 协议 
由 工 来 产生 密 钥 。 
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解密 A 发 送 的 报 
文 ， 并 将 用 Ee 加密 
的 包含 Ta、A 和 K 
内 容 的 报 文 发 给 B 


接收 T 发 来 的 B 


A | 进行 加 密 ， 并 连 加 密 报 文 


A 发 送 给 T 


图 4-1 简单 对 称 密 钥 管理 协议 


4.4.2 带 随 机 数 的 对 称 密 钥 管理 协议 


这 个 协议 也 称 为 Yahalom 协议 ,在 这 个 协议 中 .假定 A 和 B 两 人 各 与 共享 一 个 密 钥 。 
(1) A 将 她 的 名 字 连 同 随机 数 Ra 一 起 发 送 给 B。 
A,Ra>B 

(2) BH A 的 名 字 、A 的 随机 数 、 他 自己 的 随机 数 Ra 一 起 用 他 和 工 共 享 的 密 钥 加 

密 。 再 将 加 密 的 结果 和 B 的 名 字 一 起 发 送 给 工 。 
也 ,Eas(A,RA, Ra) 一 工 

(3) 工 产 生 两 个 报 文 , 第 一 个 报 文 由 B 的 名 字 、 随 机 会 话 密 钥 K、A 的 随机 数 和 B 的 
随机 数组 成 。 用 他 和 A 共享 的 密 钥 对 所 有 第 一 个 报 文 加 密 ; 第 二 个 报 文 由 A 的 名 字 和 
随机 会 话 密 钥 组 成 ,用 他 和 B 共享 的 密 钥 加 密 . 然 后 将 这 两 个 报 文 发 送 给 A。 

Ea (B.K.Ra ,Rae),Es(A,K) 一 A 

(4) A 解密 第 一 个 报 文 ,提出 KK, 并 确认 Rs 的 值 与 她 在 步骤 (1) 中 的 值 一 样 。A 发 送 
两 个 报 文 给 B。 第 一 个 报 文 是 从 工 那 里 接收 到 的 用 BB 的 密 钥 加 密 的 报 文 , 第 二 个 报 文 是 
用 会 话 密 钥 加 密 的 Reo 

Es (A,K),Er (Rs)—B 

(5) B 用 他 的 密 钥 解密 报 文 , 提 取 ,并 确认 Rs 与 他 在 步骤 (2) 中 的 值 一 样 。 

该 协议 过 程 如 图 4-2 所 示 。 

结果 是 A 和 B 互相 确认 正在 同 对 方 谈话 ,而 不 是 跟 第 三 者 。 这 里 的 新 内 容 是 : B 是 
E 工 接 触 的 第 一 人 ,而 工 仅 发 送 给 A 一 个 报 文 。 
4.4.3 带 随 机 数 的 对 称 密 钥 协 议 的 改进 

这 个 协议 由 Roger Needham 和 Michael Schroeder 发 明 ,也 采用 对 称 密码 和 工 。 协 议 
过 程 如 下 : 

(1) A 将 由 她 的 名 字 A,B 的 名 字 B 和 随机 数 Ry 组 成 的 报 文 传 给 工 。 

(A,B,Ra)—T 
(2) 工 产 生 一 随机 会 话 密 钥 K。 他 用 与 B 共享 的 密 钥 对 随机 会 话 密 钥 K 和 A 名 字 
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一 B 


将 接收 到 的 RA、 人 A 
和 Rg 一 起 用 Es 加 
密 ， 连 同 B 一 起 发 
送 给 T 


A 


将 RA 和 A 发 送 给 B 


获取 报 文 1 中 的 
K、RA 和 Re， 验 
证 RA 正 确 性 ， 用 
Er 加密 Re， 连 同 
报 文 2 发 给 B 


获取 K 及 Rs 并 验证 
Re 的 正确 性 


将 B、K、RA 和 

有 EA 加 密 ; 将 A 和 

K 用 Es 加 密 ， 并 都 

发 送 给 A 
T 


图 4-2 带 随机 数 的 对 称 密 钥 管理 协议 


组 成 的 报 文 加 密 。 然 后 用 他 和 A 共享 的 密 钥 对 A 的 随机 数 、B 的 名 字 、 会 话 密 钥 K 和 已 
加 密 的 报 文 进行 加 密 , 最 后 ,将 加 密 的 报 文 传送 给 A。 
EA(RA,B,K,Es(K,A))—A 
G) A 将 报 文 解密 并 提取 K。 她 确认 Ra 与 她 在 步骤 (1) 中 发 送 给 工 的 一 样 。 然 后 
她 将 工 用 B 的 密 钥 加 密 的 报 文 发 送 给 B。 
Es(K,A)—B 
(4) B 对 报 文 解密 并 提取 KK, 然后 产生 另 一 随机 数 Re。 他 用 K 加 密 它 并 将 它 发 送 
给 A。 
Ex (Ry) >A 
(5) A 用 将 报 文 解密 ,产生 Re 一 1 并 用 K 对 它 加密 , 然 后 将 报 文 发 回 给 B。 
Ex (Ra 一 1) 一 B 
(6) BH K 对 信息 解密 ,并 验证 它 是 Re 一 1。 
该 协议 过 程 如 图 4-3 所 示 。 
所 有 这 些 围绕 RA、Re、Rs 一 1 的 麻烦 用 来 防止 重 放 攻 击 。 在 重 放 攻击 中 ,M 可 以 记 
录 旧 的 报 文 ,在 以 后 再 使 用 它们 以 达到 破坏 协议 的 目的 。 在 步骤 (2) 中 Ra 的 出 现 使 A 确 
认 工 的 报 文 是 合法 的 ,并 且 不 是 以 前 协议 的 重 放 。 在 步骤 (5) 中 , 当 A 成 功 地 解密 Re ,并 
将 Re 一 1 送 回 给 B 之 后 ,B 确认 A 的 报 文 不 是 早期 协议 执行 的 重 放 。 
这 个 协议 的 主要 安全 漏洞 是 旧 的 会 话 密 钥 仍 有 价值 。 如 果 M 可 以 存 取 旧 的 密 钥 K, 
他 可 以 发 起 一 次 成 功 的 攻击 。 他 所 做 的 全 部 工作 是 记录 A 在 步骤 (3) 发 送 给 B 的 报 文 。 
然后 ,一 旦 他 有 ,他 可 以 假装 是 A: 
(DM 发 送 给 B 下面 的 信息 。 
Es(K,A)—B 
(2) B 提取 ,产生 Rs ,并 发 送 给 “A”。 
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将 A、B 和 RA 


HESEKAIA. aA 发 送 给 T 
T | 连同 Ra、B 和 Kj 
EA 加 密 并 发 送 给 A 获取 报 文中 的 K 和 | | 一 俩 一 -十 | 获取 报 文中 的 K 
RA， 验 证 RA 正 确 | | 
人 性， 用 Es 加 密 A 和 K] 


K 后 发 给 B 


| ”用 KK 加 密 Re 发 送 给 A 


用 K 解 密 报 文 获取 


|| 
解密 报 文 ， 验 证 Rer1 


图 4-3 改进 的 带 随机 数 的 对 称 密 钥 协议 


用 KK 加 密 Re-1 发 送 
给 B 


Ex (Rs)—A 
G) M 截取 此 报 文 , 用 K 对 它 解 密 , 并 发 送 给 B。 
Ex (Re 一 1) 一 B 
(4) B 验证 “A” 的 报 文 是 Re 一 1。 
该 协议 过 程 如 图 4-4 所 示 。 


M 
记录 | .| 将 该 报 文 截取 该 
该 报 文 发 送 给 B 报 文 
| 4 
A 
等 A、B 和 RA 


Es 加 密 K 和 A 后 ,| All | 发 送 给 T 
TI 连同 Ra、B 和 Kj 
EA 加密 并 发 送 给 A 获取 报 文中 的 K 


获取 报 文中 的 K 


和 RA， 验 证 RA K 

正确 性 ， 用 Es — 

加 密 A 和 K 后 用 KK 加密 Rs 
发 给 B 发 送 给 A 


= -ARERO iE 
M 发 起 攻击 | |L_Re-1 的 正确 性 


图 4-4 对 改进 的 带 随机 数 的 对 称 密 钥 协议 的 攻击 


到 此 为 止 ,M 成 功 地 使 B 确认 他 就 是 A 了 。 
采用 一 种 更 强 的 使 用 时 间 标 记 的 协议 能 够 击败 这 种 攻击 。 在 步骤 (2) 中 ,一 个 时 间 标 
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记 被 附 到 用 也 的 密 钥 加 密 的 工 的 信息 中 : Es (K,A,T)。 时 间 标 记 需 要 一 个 安全 的 和 精 
确 的 系统 时 钟 , 这 对 系统 本 身 来 说 不 是 一 个 普通 问题 

如 果 工 与 A 共享 的 密 钥 Ks 泄露 了 ,后 果 是 非常 严重 的 。M 能 够 用 它 获得 同 B 交谈 
的 会 话 密 钥 ,或 他 想 要 交谈 的 其 他 任何 人 的 会 话 密 钥 。 甚 至 在 A 更 换 她 的 密 钥 后 M 还 
能 够 继续 做 这 种 事情 。 


4.4.4 ” 带 索 引 的 对 称 密 钥 协议 


这 个 协议 也 称 为 Otway-Rees 协议 , 它 也 使 用 对 称 密码 。 主 要 过 程 如 下 : 

(1) A 产生 一 个 报 文 ,此 报 文 包括 一 个 索引 号 I 她 的 名 字 A、B 的 名 字 和 一 随机 数 
Rao H A 和 工 共 享 的 密 钥 Es 对 此 报 文 加 密 ,A 将 索引 号 、A 的 名 字 和 B 的 名 字 与 加 密 的 
报 文 一 起 发 送 给 B。 

1,A,B,E,(Ra>I,A,B)~>B 

(2) B 产生 一 个 报 文 ,此 报 文 包括 一 个 新 的 随机 数 Re RIG ILA 的 名 字 和 B 的 名 

字 。 用 他 与 工 共享 的 密 钥 Es 对 此 报 文 加 密 。 他 将 A 的 加 密 报 文 . 索 引号 、A 的 名 字 、B 
名 字 与 他 加 了 密 的 报 文 一 起 发 送 给 工 。 
I,A,B,EACRA,I,A,B),EsCRes,I,A,B) 一 工 

(3) 工 产生 一 个 随机 会 话 密 钥 K, 然 后 ,产生 两 个 报 文 。 一 个 是 用 他 与 A 共享 的 密 钥 
对 A 的 随机 数 和 会 话 密 钥 加 密 , 另 一 个 是 用 与 B 共享 的 密 钥 对 B 的 随机 数 和 会 话 密 钥 加 
密 。 他 将 这 两 个 报 文 与 索引 号 一 起 发 送 给 B。 

I,EACRA,K),EseCRe,K) 一 B 

(4) B 用 A 的 密 钥 加 密 的 报 文 连同 索引 号 一 起 发 送 给 A。 

IT,EACRA，K) 一 人 

(5) A 解密 报 文 , 恢 复出 她 的 密 钥 和 随机 数 ,然后 她 确认 协议 中 的 索引 号 和 随机 数 都 
没有 改变 。 

该 协议 过 程 如 图 4-5 所 示 。 


AAS B 


从 而 获取 RA 和 RB， 


用 EA 加 密 [、A、 用 Ese 加密 Rp、1、A、 产生 随机 密 钥 K 
B、RA 后 连同 [、A 和 B 并 连同 A 发 送 来 
和 B 发 送 给 B 的 报 文 一 起 发 送 给 T 


RA 

Rg 

K 
获取 K 和 Ra， 并 确 |_| 将 接收 报 文中 的 用 EA 
认 I 和 RA 未 被 自 改 FER A 


再 用 Es 加 密 Re 和 区 
并 连同 ! 发 送 给 B 


加 密 的 Ra 和 K 的 内 容 
| 连同 1 发 送 给 A | 


图 4-5 带 索引 的 对 称 密 钥 协议 


假设 所 有 随机 数 都 匹配 ,并 且 按 照 这 种 方法 索引 号 没有 改变 ,A 和 B 现在 相互 确认 
对 方 的 身份 ,他 们 就 有 一 个 密 钥 用 于 通信 了 
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4.4.5 带 时 间 标 记 的 对 称 密 钥 协议 


这 一 协议 也 称 为 Kerberos 协议 ,是 一 种 Needham-Schroeder 协议 ,面向 开放 系统 的 ， 
可 以 为 网 络 通信 提供 可 信 第 三 方 服 务 的 认证 机 制 。 

在 基本 的 Kerberos 第 5 版 本 的 协议 中 ,T 和 A、B 中 的 每 人 各 共享 一 个 密 钥 。 人 A 想 
产生 一 个 会 话 密 钥 用 于 与 B 通 信 。 下 面 是 协议 内 容 : 

(1) A 将 她 的 身份 和 B 的 身份 发 送 给 T. 

A,B—T 

(2) 工 产 生 一 个 报 文 , 该 报 文 由 时 间 标 记 工 、 使 用 寿命 L、 随 机 会 话 密 钥 K 和 A 的 身 
份 构 成 。 工 用 与 B 共享 的 密 钥 加 密 这 个 报 文 。 然 后 ,他 再 取 时 间 标 记 、 使 用 寿命 、 会 话 密 
钥 和 也 的 身份 ,并 且 用 他 与 A 共享 的 密 钥 加 密 , 并 把 这 两 个 加 密 报 文 发 给 A。 

EA(T,L,K,B),Es(T,L,K,A)—A 

(3) A 用 她 的 身份 和 时 间 标 记 产 生 报 文 ,并 用 K 对 它 进 行 加 密 , 将 它 发 送 给 B。A 也 

将 从 工 那 里 来 的 用 B 的 密 钥 加 密 的 报 文 发 送 给 B。 
Exr(A,T),Es(T,L,K,A)—B 
(4) BN K 对 时 间 标 记 加 1 的 报 文 进行 加 密 , 并 将 它 发 送 给 A。 
Ex(T+1)~A 
该 协议 过 程 如 图 4-6 所 示 。 


= = 
获取 A 和 B 的 身份 ”一 [ 介 将 A、 
A、 J 


ee 用 K 加 密 T 和 A， 并 
B, oe PA 连同 获取 的 用 Es 加 
a aie 密 的 部 分 发 给 B 
ra 的 部 分 发 给 


B 


解密 报 文 获取 T 和 K 


T. K 


用 K 加 密 T+1 并 发 
获取 T+1 送 给 A 
N“ 


图 4-6 带 时 间 标 记 的 对 称 密 钥 协 议 


这 个 协议 是 可 行 的 。 但 它 假 设 了 每 个 人 的 时 钟 都 与 工 的 时 钟 同步 。 实 际 上 ,这 个 结 
果 是 通过 把 时 钟 同步 到 一 个 安全 的 定时 服务 器 的 几 分 钟 之 内 ,并 在 这 个 时 间 间 隔 内 检测 
重 放 而 获得 的 。 


4.4.6 带 时 间 标 记 和 同步 的 协议 


这 个 协议 也 称 为 Neuman-Stubblebine 协议 。 不 管 是 由 于 系统 缺陷 还 是 由 于 破坏 ,时 
钟 可 能 变 得 不 同步 。 如 果 时 钟 不 同步 ,这 些 协议 的 大 多 数 可 能 受到 攻击 。 如 果 发 送 者 的 
时 钟 比 接收 者 的 时 钟 超前 .M 能 够 截取 从 发 送 者 传 来 的 报 文 , 当 时间 标 记 变 成 接收 地 当 
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前 时 间 时 ,M 重 放 报 文 。 这 种 攻击 叫做 隐瞒 重 放 ,其 结果 使 人 感到 气愤 。 
这 个 协议 是 Yahalom 协议 的 增强 ,下面 是 协议 过 程 : 
CL) A 把 她 的 名 字 和 随机 数 一 起 送 给 B。 
A,Ra—B 
(2) B 把 A 的 名 字 连 同 她 的 随机 数 和 一 个 时 间 标 记 Ts 一 起 ,用 他 与 工 共享 的 密 钥 
加 密 , 并 把 加 密 的 结果 、B 的 名 字 和 一 个 新 的 随机 数 一 起 发 给 工 。 
B,Rs;Es(A,Ra,Ts)—T 
G) TT 产生 随机 会 话 密 钥 ,然后 产生 两 个 报 文 ,第 一 个 报 文 由 B 的 名 字 、A 的 随机 数 
Ra 、 随 机 会 话 密 钥 K 和 时 间 标 记 Ts 组 成 ,所 有 这 些 报 文 用 他 与 A 共享 的 密 钥 加 密 ; 第 
二 个 报 文 由 A 的 名 字 ,会 话 密 钥 K 和 时 间 标 记 组 成 Ts ,所 有 这 些 报 文 用 他 与 BB 共享 的 密 
钥 加 密 。 他 将 这 两 个 报 文 和 B 的 随机 数 Rs 一 起 发 给 A. 
E,(B,Ra»,K;Ts) >Es(A,K,Ts)»Rs>A 
C4) A 解 出 用 她 的 密 钥 加 密 的 报 文 , 提 出 密 钥 KK, 并 确认 Ra 与 她 在 步骤 (1) 中 的 值 相 
lhl, A 发 给 B 两 个 消息 ,第 一 个 是 从 工 那 里 接收 的 用 B 的 密 钥 加 密 的 消息 ; 第 二 个 是 用 
会 话 密 钥 K 加 密 的 Ra 。 
Es(A,K,Ts),Exr (Rs)—B 
(5) B 解 出 用 他 的 密 钥 加 密 的 消息 ,提出 密 钥 K, 并 确认 Ts 和 Rs 与 它们 在 步骤 (2) 
中 有 相同 的 值 。 
该 协议 过 程 如 图 4-7 所 示 。 


T 
用 EA 加 密 B、RA、 A、B 获取 A 和 B 的 身份 
K 和 Te， 用 Es 加 密 Rav Rg 以 及 Te 、RA、 
A、K 和 Te， 连 同 K, Tg Ra， 产生 会 话 
Re 发 送 给 A 密 钥 K 
23 B Oooo 
n 用 Es 加密 A、RA 和 TB 
将 A、RA 发 送 给 B A | 并 连同 B、Res 一 起 
发 送 给 T 
1 
获取 K 和 RA， 验 证 
Ra 的 正确 性 PUNK. Ty. Re H 
验证 Te 和 Ra 的 正确 性 
K, Ep. ~ D 
B 1 
K 加 密 Re， 连 同 
从 T 获 得 的 用 Es 加 
密 的 部 分 发 送 给 B 


图 4-7 带 时 间 标 记 和 同步 的 协议 
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假设 随机 数 和 时 间 标 记 都 匹配 ,A 和 B 就 会 相信 互相 的 身份 ,并 共享 一 个 密 钥 。 因 
为 时 间 标 记 只 是 相对 于 B 的 时 间 , 所 以 不 需要 同步 时 钟 ,B 只 检查 他 自己 产生 的 时 间 
标记 。 

这 个 协议 的 好 处 是 : 在 预先 确定 的 时 间 内 .A 能 够 用 从 工 那 里 接收 的 消息 与 B 作 后 
续 的 认证 。 假设 A 和 B 完成 了 上 面 的 协议 和 通信 ,然后 终止 连接 ,A A Bt AN ROT 
就 能 够 在 3 步 之 内 重新 认证 。 

(1) A 将 工 在 步骤 (3) 发 给 她 的 信息 和 一 个 新 的 随机 数 发 送 给 Bo 

Es(A,K,Te),RA 一 B 
(2) BRE A 另 一 个 新 的 随机 数 ,并 且 A 的 新 随机 数 用 他 们 的 会 话 密 钥 加 密 。 
Rs, Ex (RA) 一 人 
(3) A 用 他 们 的 会 话 密 钥 加 密 B 的 新 随机 数 , 并 把 它 发 送 给 B。 


Ex (CR 人 一 BB 
重新 认证 的 协议 过 程 如 图 4-8 所 示 。 
一 A 一 一 一 B 
产生 新 的 随机 数 
RA， 连 同 从 T 获 得 网 _| 获取 RA， 产 生 新 
的 用 Es 加 密 的 部 随机 数 RE 
分 发 送 给 B 
RA、 Rg 
egal 用 K 加 密 RA， 连 
im =) ——B} 同 Rs 传 送 给 A 
Rot 
用 K 加 密 RS 并 , 
发 送 给 B {a} =| 获取 EKk(CRb) 


图 4-8 重新 认证 过 程 
这 样 ,通过 使 用 新 的 随机 数 就 防止 了 重 放 攻 击 。 
4.4.7 分 布 式 认证 安全 协议 


分 布 式 认证 安全 协议 (DASS) 是 由 数字 设备 公司 开发 的 ,也 提供 相互 认证 和 密 钥 交 
换 。 与 前 面 的 协议 不 同 ,DASS 同时 使 用 了 公开 密 钥 和 对 称 密码 。A 和 B 每 人 有 一 个 私 
钥 ,T 有 他 们 公 钥 签名 的 副本 。 

d) A 送 一 个 消息 给 芽 , 这 个 消息 由 B 的 名 字 组 成 。 

B>T 
(2) TIT B 的 公 钥 Ks 发 给 A, 用 T 工 的 私 钥 工 签名 。 签 名 消息 包括 B 的 名 字 。 
Sr(B,Ka) 一 A 

(3) A 验证 工 的 签名 以 确认 她 接收 的 密 钥 确实 是 B 的 公 钥 。A 产生 一 个 随机 会 话 
密 钥 K 和 一 个 公 钥 / 私 钥 密 钥 对 Ke :她 用 开 加 密 时 间 标 记 , 然 后 用 她 的 私 钥 Ka 对 密 钥 
的 寿命 周期 LIA 的 名 字 和 Ke 签名 。 最 后 ,她 用 B 的 公 钥 Ks WME K. 并 用 Ke 签名 。 
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A 将 所 有 这 些 消 息 发 给 B。 
Ex (Ta) +Ska(L+A+Kp) + Sxp(Exs(K))>B 
(4) B 发 送 一 个 消息 给 T( 这 可 能 是 男 一 个 T), 它 由 A 的 名 字 组 成 。 
A>T 
(5) TILA WA4 Ka 和 A 的 名 字 , 用 工 的 私 钥 工 签名 后 发 给 B。 
Sr(A.K,)>B 

(6) B Sie T AYE Wh A Aib Be ic A a SE CAS. Rs AE A 的 签 
名 并 恢复 出 Ke。B 验证 签名 并 用 他 的 私 钥 恢 复 K。 然 后 解密 Ta 以 确认 这 是 当前 的 
消息 。 

(7) 如 果 需 要 互相 认证 ,B 用 K 加密 一 个 新 的 时 间 标 记 , 并 把 它 发 送 给 A。 

Ek (Te) 一 A 
(8) A 用 下 解密 Ts 以 确认 消息 是 当前 的 。 
该 协议 过 程 如 图 4-9 所 示 ,图 中 假设 A 和 也 通信 的 为 同一 个 工 。 
工 


获取 A 发 | p | 用 St 加 密 
ROK H= B 和 Ks， H 


获取 B 发 | a | 用 Sr 加 密 
送 来 的 A [A] A 和 KA， 


的 名 字 发 送 给 A 的 名 字 发 送 给 B 
N $ 
a 
A T E 
g a 四 
将 B 的 名 字 发 给 T 
接收 并 验证 T 和 
Ks， 产 生 K 和 Kp 
将 A 的 名 字 发 给 T 接收 并 验证 T、KA 
K、 Ks 
用 K 加 密 TA， 用 KA 
加 密 L、A 和 Kp， 开 验证 A， 恢 复出 Kp 
经 Ka 加 密 后 再 用 Kr 和 K， 解 密 出 Ta 以 H 
加 密 ， 并 将 其 全 部 确认 为 当前 
传 给 B 
了 
接收 并 通过 Ta 验证 | 用 K 加 密 Te 并 
是 否 为 当前 信息 发 送 给 A 


图 4-9 分 布 式 认证 安全 协议 


4.4.8 带 T 的 公开 密 钥 认证 协议 


这 个 协议 也 称 为 Denning-Sacco 协议 , 它 也 使 用 公开 密 钥 。TI 保存 每 个 人 的 公开 密 
钥 数据 库 。 
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(1) A 发 送 一 个 有 关 她 和 B 的 身份 消息 给 T. 
A.B>T 

(2) T EHT HAHAE K BAH Ks RA A. 工 也 把 用 工 的 私 钥 签名 的 A 自己 

的 公 钥 Ka 发 给 A。 
Sr(B, Ks) ,Sr(A,KA) 一 人 A 

(3) A 向 BB 传送 随机 会 话 密 钥 、 时 间 标 记 ( 用 自己 私 钥 签 名 并 用 B 的 公 和 钥 加 密 ) 和 两 

个 签 了 名 的 公开 密 钥 。 
Eg(Sa(K.T,))+Sr(B. Koy SC Ka) >B 

(4) B 用 他 的 私 钥 解 密 A 的 消息 ,然后 用 A 的 公 钥 验证 她 的 签名 。B 检查 以 确认 时 
间 标 记 仍 有 效 。 

该 协议 过 程 如 图 4-10 所 示 。 

A T 


一 | 接收 A 和 B 的 身份 报 广 
A、 s] 


把 B 和 自己 的 身份 {a} 


-起 发 给 T 


用 Sr 加 密 A 和 KA， 同 
接收 T 发 来 的 加 密 报 文 一 样 用 Sr 加 密 B 和 Ka， 
发 送 给 A 
B 
用 Sa 加 密 K 和 Ts 后 再 用 oe 
来 的 报 文 一 起 发 送 给 B 5h 


图 4-10 Denning-Sacco 协议 


在 这 里 ,A 和 也 两 人 都 有 密 钥 K, 他 们 能 够 安全 地 通信 。 

这 看 起 来 是 可 行 的 ,但 实际 上 还 存在 问题 。 在 和 A 一 起 完成 协议 后 ,B 可 以 伪装 是 
A。 这 个 欺骗 过 程 是 : 

A) B 把 他 的 名 字 和 C 的 名 字 发 给 工 。 

B.C>T 
(2) 工 把 B 和 C 的 已 签名 的 公 钥 发 给 B。 
Sr(B,Ks),SrCC,Kc) 一 B 

(3) 也 将 以 前 从 A 那里 接收 的 会 话 密 钥 和 时 间 标 记 的 签名 用 C 的 公 钥 加 密 , 并 和 A 

与 C 的 证 书 一 起 发 给 C. 
Eo tS EKTA D SrtA KSC.Re se 

(4) C 用 她 的 私 钥 解 密 A 的 消息 .然后 用 A 的 公 钥 验证 她 的 签名 。C 检查 以 确认 时 
间 标 记 仍 有 效 。 

B 的 上 述 欺 骗 过 程 如 图 4-11 所 示 。 

C 现在 认为 她 正在 与 A 交谈 ,但 是 B 欺骗 了 她 。 事实 上 ,在 时 间 标 记 截 止 前 ,B 可 以 
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B T: 
iene AN td BH | 搂 收 8 和 C 的 身份 报 广 
A、 s] 
用 Si 加 密 B 和 Ka， 同 
接收 T 发 来 的 加 密 报 文 | T} 样 用 Sr 加 密 C 和 Kc， 


发 送 给 B 


Ec 对 以 前 从 A 接收 到 

的 签名 加 密 ， 并 连同 

Sr(A，KA)，ST(CC，Kc) 
一 起 发 送 给 B 


[B} = | 解密 报 文 并 验证 A 的 
签名 和 时 间 标 记 


图 4-11 在 Denning-Sacco 中 的 欺骗 过 程 


欺骗 网 上 的 任何 人 。 
这 个 问题 可 以 这 样 解决 。 在 步骤 (3) 的 加 密 消 息 内 加 上 和 名字 : 
Ea(SA(A,B,K,TA)),Sr(A,KA),Sr(B,Ks) 
因为 这 一 步 清楚 地 表明 是 A 和 B 之 间 在 通信 ,所 以 B 现在 就 不 可 能 对 C 重 放 旧 
消息 。 


4.4.9 ” 带 T 和 随机 数 的 公开 密 钥 认证 协议 


这 个 协议 也 称 为 Woo-Lam 协议 , 它 也 使 用 公开 密 钥 : 
d) A 发 送 一 个 有 关 她 和 B 的 身份 消息 给 工 。 
A,B—T 
(2) T 用 他 的 私 钥 工 对 B 的 公 钥 签名 ,然后 把 它 发 给 A, 
Sr (Kp) >A 

(3) A 验证 本 的 签名 ,然后 把 她 的 名 字 和 一 个 随机 数 用 B 的 公 钥 加 密 , 并 把 它 发 

给 B。 
Ex, (A,RA) 一 B 
(4) B 把 他 的 名 字 、A 的 名 字 和 用 工 的 公 钥 Kr 加 密 的 A 的 随机 数 一 起 发 给 工 。 
A.B, Eg, (Ra)>T 

(5) 工 把 用 工 的 私 钥 签名 的 A 的 公 钥 Ky 发 给 B, 工 用 工 的 私 钥 对 所 有 A 的 随机 

数 、 随 机 会 话 密 钥 、A 的 名 字 和 B 的 名 字 签 名 ,并 用 B 的 公 钥 加 密 ,并 把 它 也 发 给 B. 
Sr(Ka),Ers(Sr(Ra,K,A,B))—B 

(6) B 验证 全 的 签名 。 然 后 B 将 步骤 (5) 中 工 的 消息 的 第 二 部 分 和 一 个 新 随机 数 一 

起 用 A 的 公 钥 加 密 ,并 将 结果 发 给 A。 
Eka (Sr(Ra ,KK,A,B), Ra) 一 A 

(7) A 验证 工 的 签名 和 她 的 随机 数 。 然 后 她 将 第 二 个 随机 数 用 会 话 密 钥 K 加 密 ,并 

发 给 B。 
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Ex (Ra)—B 
(8) B 解密 他 的 随机 数 ,并 验证 随机 数 有 没有 改变 。 
该 协议 过 程 如 图 4-12 所 示 。 


ease 用 Sr 加 密 KA， 用 S 
获取 A 和 Sr 签名 解密 报 文 获 | Rx | 加 密 A、B、 KA Re 
B 的 名 字 | “| Ka， 发 取 RA， 并 产 后 再 用 Es 对 其 加 

送 给 A 生 随 机 密 钼 K Pippi bared 
X I 


m2 国 四 


将 B 和 自己 的 名 字 


发 送 给 T 2 1 
JRE 
用 Er 加 密 RA， 连 接收 并 验证 T， 解 
m E HA, BINA 密 获得 第 二 部 分 加 
接收 报 文 并 验证 T | 发 给 T 密 内 容 ， 产 生 Ra 
T 
| A、RA STRA，K，A，B)、Re 
用 Es 加 客 A 和 Rs， | | pe 获取 报 文 解密 出 用 EA 加 密 
全 一 寺 | A 加 密 
发 送 给 B A 和 RA SRa, K, A, B) 
HIR» 发 送 给 A 
接收 报 文 并 验 |a D 
证 T 和 RA 
用 K 加 密 Re 并 | fa} 解密 并 获得 其 随机 
发 送 给 B 数 ， 验 证 其 是 否 改变 


图 4-12 Woo-Lam 协议 


4.4.10 其 他 协议 
现 有 文献 中 有 许多 其 他 协议 .如 X. 509 HIX, Krypto Knight 协议 、 加 密 密 钥 交换 协 


议 等。 
4.4.11 学 术 上 的 教训 


在 前 面 的 协议 中 ,那些 被 破解 的 协议 和 没有 被 破解 的 协议 都 留 下 了 沉痛 的 教训 。 

(1) 因为 设计 者 试图 使 设计 过 于 精致 ,致使 许多 协议 失败 。 在 优化 协议 时 ,通过 省 去 
重要 的 部 分 : 名 字 、 随 机 数 等 来 完成 ,但 矫 枉 过 正 了 。 

(2) 试图 进行 优化 是 一 个 可 怕 的 陷阱 ,因为 最 终 的 成 败 依赖 于 所 做 的 假设 。 例 如 ,如 
果 有 识别 的 时 间 ,就 可 以 做 许 许多 多 没 去 做 也 做 不 到 的 事情 。 

(3) 选择 的 协议 依赖 于 底层 的 通信 体系 结构 。 因 此 ,必须 要 考虑 消息 的 大 小 和 数量 ， 
还 要 考虑 团体 中 的 所 有 人 是 否 需 要 互相 交谈 。 

这 些 问题 导致 了 协议 分 析 的 形式 化 方法 的 研究 .参见 5. 1 节 。 
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4.5 多 密 钥 公开 密 钥 密码 系统 


一 般 地 ,公开 密 钥 密码 使 用 两 个 密 钥 ,用 一 个 密 钥 加 密 的 报 文 能 用 另 一 个 密 钥 解密 。 
通常 一 个 密 钥 是 私有 的 ,而 另 一 个 是 公开 的 。 假 设 A 有 一 个 密 钥 ,B 有 另 一 个 密 钥 , 那 么 
A 加 密 的 报 文 ,只 有 B 能 解密 ; 反 过 来 B 加 密 的 报 文 ,只 有 A 能 读 。 

Colin Boyd 推广 了 这 个 概念 。 设 想 一 种 具有 3 个 密 钥 KA ,Ka,Kc 的 公开 密 钥 密码 
系统 。 表 4-2 给 出 了 密 钥 分 配 。 


表 4-2 3 个 密 钥 分 配方 案 


人 员 加 密 密 钥 分 配 相应 的 解密 密 钥 
A Ka Ks 和 Kc 
B Ks Ky 和 Ke 
C Ke Ka 和 Kp 
D Ka 和 Kg Ke 
E Ks 和 Ke Ka 
F Ka 和 Ke Ks 


在 这 个 方案 中 ,A 可 以 用 Ka 加 密 报 文 ,以 便 玉 用 Ks 和 Kc 解密 ; B 可 以 用 Ks 对 报 
文 加 密 , 以 便 下 能 读 它 ; C 也 可 以 用 Ke 加 密 报 文 ,以 便 DD 能 读 它 ; D 可 以 用 KA 加 密 报 文 
以 便 玉 能 读 它 ; 而 由 于 有 Ks,F 也 可 以 用 KA 加 密 报 文 ; 或 者 D 同时 用 Ka 和 Ks 加 密 报 
文 , 以 便 C 能 读 它 。 

类 似 地 ,下 能 够 加 密 报 文 以 便 A 和 D 或 者 下 能 读 它 。 表 4-2 也 归纳 了 所 有 可 能 的 


组 合 。 
这 可 以 推广 到 n 个 密 钥 ,如 果 用 密 钥 的 某 个 子 集 来 加 密 报 文 .那么 就 需要 用 其 他 密 钥 
来 解密 此 报 文 。 

广播 报 文 

假设 有 100 个 工人 在 野外 作业 ,现在 需要 给 他 们 当中 的 一 些 人 发 送 报 文 , 但 预先 并 不 
知道 是 该 向 哪些 人 发 。 可 以 为 每 个 人 单独 加 密 报 文 ,或 者 为 每 种 可 能 的 组 合 都 给 出 密 钥 。 
第 一 种 选择 需要 增加 很 多 通信 量 ,第 二 种 选择 需要 更 多 密 钥 。 

采用 多 密 钥 密码 方案 就 容易 得 多 .将 用 3 个 工人 : ALB AIC. HF Ka 和 Ka 给 入 ,将 
Ks 和 Ke 给 B, 将 Ke 和 Ka 给 C。 现 在 可 以 同 想 要 通信 的 任何 子 集 交谈 。 如 果 想 发 送 一 
个 报 文 只 有 A 能 读 它 ,就 用 Kc 加 密 此 报 文 。 当 A 接收 到 此 报 文 时 ,她 先 用 Ks ,然后 再 
用 Ks 解密 。 如 果 想 发 送 一 个 报 文 只 有 B 能 读 它 ,就 用 Ka 加 密 ; 用 Ks 加 密 时 ,只 有 C 才 
能 读 它 。 如 果 发 送 一 个 报 文 使 A 和 B 都 能 读 它 ,就 用 Ky 和 Ke 对 它 加 密 等 。 

这 可 能 没有 什么 激动 人 心 的 地 方 .但 对 于 100 个 工人 来 说 , 它 就 非常 管用 了 。 

单独 的 报 文 表示 每 个 工人 共享 一 个 密 钥 (总 共 100 个 密 钥 ) 和 每 个 报 文 。 每 个 可 能 子 
集 的 密 钥 表示 共有 2—2 个 不 同 的 密 钥 ,另外 的 两 个 是 : 针对 全 部 工人 的 报 文 和 不 对 工 
人 的 报 文 。 在 这 个 方案 里 ,只 需要 一 个 加 密 报 文 和 100 个 不 同 的 密 钥 就 可 以 实现 。 
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这 个 方案 的 缺陷 是 必须 广播 哪个 工人 的 子 集 能 够 读 报 文 。 否 则 ,每 个 工人 将 不 得 不 
试 所 有 可 能 的 密 钥 组 合 , 以 寻找 正确 的 一 组 密 钥 。 甚 至 只 要 意向 接收 者 的 名 字 也 行 得 通 。 
至 少 ,要 想 实 现 简单 ,每 个 人 实际 上 需要 大 量 的 密 钥 数据 。 

当然 ,还 有 其 他 用 于 报 文 广播 的 技术 ,其 中 有 一 些 避 免 了 前 面 的 问题 ,这 里 不 再 细 述 。 


4.6 秘密 分 割 


设想 , 若 某 人 发 明了 一 种 新 的 特别 好 吃 的 食品 配方 ,或 者 制作 了 一 种 调味 品 ,现在 重 
要 的 事情 是 必须 保守 秘密 。 只 能 告诉 最 信赖 的 雇员 各 种 成 分 准确 的 调配 比例 ,但 如 果 他 
们 中 的 一 个 背叛 给 对 手 方 时 ,会 出 现 怎 样 的 情况 呢 ? 很 明显 ,秘密 就 会 被 泄露 ,不 久之 后 ， 
许多 地 方 都 将 出 售 这 种 调味 品 。 

为 了 避免 这 种 情况 的 发 生 就 需要 对 秘密 进行 分 割 。 可 以 通过 各 种 方法 将 消息 分 割 成 
许多 碎片 。 每 一 片 本 身 并 不 代表 什么 ,但 把 这 些 碎 片 放 到 一 块 ,消息 就 会 重 现 出 来 。 如 果 
消息 是 一 个 秘方 ,每 一 个 雇员 有 一 部 分 ,那么 只 有 他 们 放 在 一 起 才能 作出 这 种 调味 料 。 如 
果 任 意 一 个 雇员 辞职 带 走 一 部 分 制 法 ,这 个 信息 本 身 是 毫 无 用 处 的 。 

这 就 是 所 谓 的 秘密 分 割 , 它 是 指 把 一 个 消息 分 成 n 块 ,单独 的 每 一 块 看 起 来 并 没有 意 
义 , 但 所 有 的 块 集合 起 来 就 能 将 原来 的 消息 恢复 出 来 。 它 包括 简单 的 两 方 秘密 分 割 和 多 
方 秘密 分 割 两 种 情况 。 

在 两 个 人 之 间 分 割 一 个 消息 是 最 简单 的 共享 问题 。 下 面 是 本 把 一 消息 分 割 给 A 和 
B 的 一 个 协议 : 

(1) 工 产生 一 个 随机 比特 串 R, 和 消息 M 一 样 长 。 

(2) T Ħ RR OM 得 到 S。 

M@R=S 
(3) THERA A, 将 S 给 B。 为 了 重 构 此 消息 ,A A B 只 需 一 起 做 一 步 。 
(4) A 和 B 将 他 们 的 消息 异 或 就 可 得 到 此 消息 。 

R@®S=M 

如 果 处 理 得 当 , 这 种 技术 是 绝对 安全 的 。 因 为 每 一 部 分 本 身 是 毫 无 价值 的 东西 。 

实际 上 ,T 是 用 一 次 一 密 乱 码 本 加 密 消 息 , 并 将 密 文 给 一 个 人 ,乱码 本 给 另 一 个 人 。 
在 3.2.4 节 中 已 详细 讨论 过 一 次 一 密 乱 码 本 ,它们 是 具有 完全 保密 性 的 ,无 论 有 多 大 计算 
能 力 都 不 能 根据 消息 碎片 之 一 的 内 容 就 确定 出 全 部 消息 来 。 

把 这 种 方案 推广 到 多 人 也 是 容易 的 。 为 了 在 多 个 人 中 分 割 一 个 消息 ,将 此 消息 与 多 
个 随机 比特 异 或 成 混合 物 。 

在 下 面 的 例子 中 ,TT 把 信息 划分 成 4 部 分 : 

a) 工 产生 3 个 随机 比特 串 R、S、T, 每 个 随机 串 与 消息 M 一 样 长 。 

(2) T HÈ 3 个 随机 串 和 M 异 或 得 到 U, 

M@®ROSOT=U 
(3) TT 将 口 给 A,S 给 B,T 给 C,U 给 D。A.、B 和 C.D 在 一 起 可 以 重 构 此 消息 。 
(4) A,B,C 和 D 一 起 计算 。 
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ROSOTOU=M 

这 是 一 个 裁决 协议 ,T 有 绝对 的 权力 ,并 且 能 够 做 他 想 做 的 任何 事情 。 他 可 以 把 毫 无 
意义 的 东西 拿 出 来 ,并 且 申 明 这 些 是 秘密 的 有 效 部 分 。 在 将 秘密 重 构 出 来 之 前 ,没有 人 能 
够 知道 秘密 所 在 。 他 可 以 分 别 交 给 A、B、C 和 D 一 部 分 .并 且 在 之 后 告诉 每 一 个 人 ,只 要 
A、C 和 D 3 人 就 可 以 重 构 出 此 秘密 ,然后 解雇 B。 由 于 这 是 由 工分 配 的 秘密 ,这 对 于 他 
恢复 信息 是 没有 问题 的 。 

然而 ,这 种 协议 存在 一 个 问题 : 如 果 任 何 一 部 分 丢失 了 ,并 且 工 又 不 在 ,就 等 于 将 消 
BRAMI. WR C 有 调味 料 制 法 的 一 部 分 ,他 跑 去 为 对 手工 作 , 并 带 走 了 他 的 那 一 部 分 ， 
那么 其 他 人 就 很 不 幸 了 ,不 可 能 重新 产生 这 个 秘方 ,即使 AB, D 在 一 起 也 不 行 。C 的 那 
一 部 分 对 消息 来 说 和 其 他 部 分 的 组 合 一 样 重 要 。A、B 和 DD 知道 的 仅 是 消息 的 长 度 ,没有 
其 他 更 多 的 信息 了 。 的 确 如 此 ,因为 R、S、T、U 和 M 都 有 同样 的 长 度 ; 见 到 它们 中 的 任 
何 一 个 都 知道 C 的 那 一 部 分 的 长 度 。 注 意 ,M 不 是 通常 单词 意义 的 分 割 , 它 是 用 随机 数 
异 或 的 。 

目前 ,秘密 分 割 主要 应 用 在 数据 库 方面 ,通过 对 数据 库 信 用 卡号 进行 分 割 来 提高 其 安 
全 性 。 另 外 ,在 2003 年 由 RSA Security 公司 推出 的 名 为 Nightingale 的 一 项 安全 技术 也 
体现 和 支持 了 秘密 分 割 机 制 。 


4.7 秘密 共享 


大 家 知道 ,对 重要 而 敏感 信息 的 保护 主要 还 是 采用 加 密 手 段 来 实现 的 ,而 加 密 的 核心 
是 密 钥 的 保密 问题 。 因 此 , 密 钥 的 管理 直接 影响 信息 的 安全 。 

Blakley 和 Shamir 分 别 于 1979 年 独立 地 提出 了 秘密 共享 的 概念 ,并 分 别 设计 了 具体 
的 体制 。 秘 密 共享 体制 为 密 钥 管理 提供 了 一 个 非常 有 效 的 途径 ,在 政治 、 经 济 、 军 事 、 外 交 
中 得 到 了 广泛 应 用 。 

下 面 看 两 个 秘密 共享 的 例子 。 

实例 1 在 一 个 银行 里 ,每 天 都 必须 打开 保险 库 , 银 行 雇佣 了 3 个 出 纳 ,但 银行 并 不 
将 密码 委托 给 单个 出 纳 。 利 用 秘密 共享 体制 就 可 以 设计 这 样 一 个 系统 ,在 这 个 系统 里 , 任 
何 两 个 出 纳 合 作 都 能 打开 保险 库 ,但 任何 单独 一 个 人 就 不 能 打开 保险 库 。 

实例 2 假设 当前 正在 为 核 导 弹 安装 发 射程 序 。 需 要 保证 一 个 疯子 不 能 够 启动 发 
射 。 也 许 要 保证 两 个 疯子 不 能 启动 发 射 。 而 在 允许 发 射 前 ,可 以 认为 ,5 个 官员 中 至 少 有 
3 个 是 疯子 。 这 是 一 个 秘密 共享 问题 。 做 一 个 机 械 发 射 控制 器 ,给 5 个 官员 每 人 一 把 钥 
匙 ,并 且 在 允许 他 们 起 爆 时 ,要 求 至 少 3 个 定员 的 钥匙 插入 合适 的 钥匙 孔 中 。 如 果 确 实 担 
心 ' 可 以 使 这 些 钥匙 孔 分 隔 很 远 , 并 要 求 官员 们 同时 将 钥匙 插入 。 因 为 不 愿 一 个 官员 偷窃 
另 两 把 钥匙 ,使 他 能 够 毁坏 城市 。 

除 此 以 外 ,在 重要 场所 的 通行 ,遗嘱 的 生效 等 必须 有 两 人 或 多 人 同时 参加 才能 生效 ， 
也 需要 将 秘密 分 给 多 人 保管 , 即 都 要 采用 秘密 共享 体制 。 秘 密 共 享 体制 不 仅 在 密 钥 管理 
方面 大 有 可 为 ,而 且 在 密 钥 的 产生 、 分 配方 面 也 有 一 定 的 应 用 。 
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4.7.1 秘密 共享 的 基本 思想 


秘密 共享 的 一 般 思 想 是 : 为 了 解密 一 种 秘密 ,需要 多 方 协作 才能 完成 。 某 个 人 只 有 
自己 的 密 钥 还 不 够 ,还 需要 另外 的 一 些 帮 助 才能 获取 整个 秘密 。 结 果 是 : 可 以 设计 复杂 
的 方案 ,方案 明确 指定 哪些 人 必须 相互 协作 , 才 可 以 解密 特定 消息 。 例 如 ,可 以 指定 一 个 
“菜单 ”方法 ,在 这 种 方法 里 ,需要 两 个 A 栏 中 的 人 、3 个 BB 栏 中 的 人 和 一 个 C 栏 中 的 人 来 
解密 一 条 消息 。 采 用 的 方案 也 可 以 有 更 复杂 的 相关 性 。 例 如 ,如 果 A 使 用 了 自己 的 密 
钥 , 那 么 还 需要 B 的 帮助 ; 如 果 C 使 用 了 自己 的 密 钥 ,还 需要 D 的 帮助 (只 有 一 种 组 合 有 
效 )。 秘 密 共享 最 简单 的 例子 是 4.6 节 所 述 的 秘密 分 割 。 

在 上 面 的 例子 中 ,可 以 授权 将 军 和 两 个 上 校 发 射 导弹 ,但 如 果 将 军 正在 打 高 尔 夫 球 ， 
那么 就 要 求 启动 发 射 时 需要 5 位 上 校 。 这 样 ,可 以 制造 一 种 发 射 控制 器 ,该 控制 器 需要 5 
把 钥匙 。 给 将 军 3 把 钥匙 ,给 每 位 上 校 一 把 钥匙 。 实 施 的 时 候 , 将 军 和 任何 两 位 上 校 一 起 
就 能 发 射 导 弹 。5 个 上 校 一 起 也 能 ,但 将 军 和 一 位 上 校 就 不 能 ,4 位 上 校 也 不 行 。 

一 种 成 为 门限 方案 的 共享 方案 .在 数学 上 可 以 满足 这 个 要 求 ,其 至 提供 更 多 的 条 件 。 
至 少 , 对 于 任何 消息 (秘密 的 秘方 ,发 射 代码 ,洗衣 价目 表 ) ,可 以 把 它 分 成 n 部 分 ,每 部 分 
叫做 它 的 “影子 ?或 共享 ,使 得 它们 中 的 任何 m 部 分 能 够 用 来 重 构 消息 ,更 准确 地 说 ,这 叫 
做 秘密 共享 的 (m,n) 门 限 方 案 , 或 称 拉 格 朗 日 插值 多 项 式 方案 。 该 方案 的 一 般 描述 如 下 。 

假定 需要 在 n 个 人 中 共享 秘密 M, 使 得 他 们 中 任意 m 个 人 通过 相互 协作 可 以 获取 
秘密 。 

(1) ÆRE M 大 的 随机 质数 po 

(2) 生成 (n 一 了 个 随机 整数 R{1)、R{2),…,R{n 一 1) ,每 一 个 都 比 p 小。 

G) 使 用 下 列 式 子 将 F(x) 定义 成 有 限 域 上 的 多 项 式 : 

F(x) =(R{1} * x} +R{2} * x"? +..+R{n—1} * x+M) mod p (4-1) 

(4) 通过 定义 : 

k{i} =FCx{i}) (4-2) 

生成 下 AY m* 影 子 ”", 这 里 ,每 个 x{i 计 都 不 同 ( 对 于 x, 使 用 连续 整数 值 [1,2,3,…] 是 很 
好 的 选择 ) 。 

(5) 将 [Lp,xfti} ,kfti] 交 给 m 个 秘密 共享 者 的 每 一 位 ,i 对 应 每 个 共享 者 的 号 码 (这 一 
枚 举 是 任意 的 ) 。 

(6) 销毁 R{1} 、.R{2}、…、R{n 一 1}。 

(7) 销毁 或 隐藏 M。 

已 知 所 提供 的 信息 ,每 位 秘密 共享 者 可 以 写 出 一 个 线性 方程 。 例 如 ,作为 共享 者 1 可 
以 构造 方程 : 

k{1}=(C{1} * x{1}"+C{2} * x{1} "7? 十 … 十 Cltn 一 1) * x{1} +M) mod p (4-3) 

由 于 这 些 线性 方程 有 n RAMCI). Cin M M) ,因此 它 需 要 n 个 具有 相 
同 未 知 数 的 方程 来 求解 方程 系统 ,进而 解 出 M( 也 可 以 解 出 C{i} ,但 是 一 旦 获取 了 M, 就 
对 它们 不 感 兴趣 了 ) 。 

由 于 下 的 系数 是 随机 选择 的 ,所 以 少 于 mn 个 秘密 共享 者 的 协作 (即使 具有 无 限 的 计 
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算 能 力 ) 也 不 能 解 出 M。 没 有 第 n 个 共享 者 的 参与 ,任何 可 能 的 M( 长 度 小 于 p) 都 和 任何 
其 他 M 一 样 与 ( 少 于 n 个 ) 方 程 相 容 。 

再 拿 (3,4) 门 限 方 案 来 说 ,TT 可 以 将 他 的 秘密 配方 分 给 A、B、C 和 D, 这 样 把 他 们 中 的 
任意 3 个 “影子 ” 放 在 一 起 就 能 重 构 消息 。 如 果 C 正在 度假 ,那么 A、B 和 DD 可 以 联合 起 
来 重 构 消 息 。 如 果 B 被 汽车 撞 了 ,那么 A、C 和 DD 可 以 联合 起 来 重 构 消息 。 然 而 ,如 果 C 
正在 度假 期 间 ,B 被 汽车 撞 了 ,A 和 D 就 不 可 能 重 构 消息 了 。 

普通 的 门限 方案 远 比 上 面 所 说 的 更 通用 。 任 何 共享 方案 都 能 用 它 建造 模型 。 

一 个 人 可 以 把 消息 分 给 其 所 在 大 楼 中 的 人 ,以 便 今后 重 构 它 来 使 用 。 这 人 需要 一 楼 
的 7 个 人 和 二 楼 的 5 个 人 ,就 能 恢复 此 消息 。 如 果 有 从 三 楼 来 的 人 ,在 这 种 情况 下 , 仅 需 
要 从 三 楼 来 的 人 和 从 一 楼 来 的 3 个 人 及 从 二 楼 来 的 2 个 人 ; 如 果 有 从 四 楼 来 的 人 ,在 这 
种 情况 下 , 仅 需 要 从 四 楼 来 的 人 和 从 三 楼 来 的 1 个 人 .或 从 四 楼 来 的 人 和 从 一 楼 来 的 2 个 
人 及 从 二 楼 来 的 1 个 人 等 。 

秘密 共享 在 具体 的 研究 和 实践 中 已 得 到 了 广泛 应 用 。 在 自 组 织 网 络 当 中 ,由 于 该 网 
络 本 身 的 灵活 性 给 其 安全 方面 提出 了 巨大 挑战 ,而 密 钥 的 管理 是 其 安全 需求 的 首要 环节 ， 
那么 利用 可 公开 验证 的 秘密 共享 体制 而 产生 的 分 布 式 密 钥 管 理 办 法 就 为 提高 自 组 织 网 络 
的 安全 性 提供 了 一 条 有 效 途 径 。 另 外 ,秘密 共享 更 广义 上 的 应 用 一 一 多 秘密 共享 机 制 ,在 
企业 管理 .遗产 继承 等 方面 也 有 大 量 应 用 。 


4.7.2 基于 秘密 共享 的 协议 


4.7.2.1 Shamir 门限 方案 


Shamir 的 方法 是 将 一 个 含有 秘密 的 数据 D( 例 如 ,密码 系统 中 的 密 钥 ,保险 柜 的 号 码 
组 合 等 ) 分 成 nn 块 D,,…,D, ,并 满足 下 面 的 要 求 : 
(1) 知道 任意 个 或 更 多 的 Di .就 能 够 有 效 地 计算 出 D 
(2) 知道 任意 & 一 1 个 或 更 少 的 D; ,由 于 信息 不 够 ,不 可 能 有 效 地 计算 出 Do Shamir 
称 这 种 方法 为 (k.n) 门 限 方案 。 
显然 ,这 是 对 密 钥 保管 问题 的 一 种 较 好 的 解决 方法 。 例 如 ,在 (k,n) 门 限 方案 中 令 
nn 二 2k 一 1, 则 在 个 小 块 中 即使 有 [nn/2 | 一 & 一 1 个 小 块 被 破坏 了 ,仍然 可 以 有 效 地 恢复 
原来 的 密 钥 。 相 反 ,密码 分 析 员 即使 能 够 获得 剩 下 的 个 小 块 中 的 |[n/2 = 二 & 一 1 块 ,也 
无 法 有 效 地 推导 出 原 有 的 密 钥 。 
Shamir 的 门限 方案 是 基于 拉 格 朗 日 的 插值 多 项 式 。 在 二 维 平面 上 给 出 个 点 
Carey dette Cres yn) ,其 中 x; 各 不 相同 , 则 有 一 个 且 仅 有 一 个 一 1 次 多 项 式 g(x) 满 足 
ga) = yis1 i<<k (4-4) 
不 失 一 般 性 ,可 以 假定 数据 D 是 一 个 数 ,为 了 把 DD 分 成 小 块 D; ,选取 一 个 随机 的 & 一 1 
次 多 项 式 
g(x) =agtaxrte+ay2*? (4-5) 


其 中 ,a 二 DD, 并 计算 出 
Dı = g(1),…,D, = g(n) (4-6) 
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给 定 上 述 D; 值 中 的 任意 个 ,可 以 通过 插值 法 求 出 g(x) 的 系数 ,因此 可 以 计算 出 D= 
gq(0)。 相 反 ,如 果 仅 仅 知道 这 些 D, 值 中 的 一 1 个 , 则 由 于 信息 不 够 而 无 法 确定 g(x) ,所 
以 不 能 求 出 也 值 。 

以 上 是 Shamir 门限 方案 的 概述 ,下 面 对 若 干 细 节 了 予以 说 明 。 

(1) 这 里 进行 的 是 模 数 运算 ,而 不 是 实数 运算 。 因 为 插值 定理 在 任何 多 项 式 环 F[x] 
中 (其 中 多 项 式 系数 的 集合 下 是 一 个 域 ) 都 成 立 , 且 当 p 是 素数 时 ,Z, 是 一 个 域 。 所 以 
给 定 整数 了 后 ,选取 一 个 大 于 D 和 的 素数 p, 此 后 所 进行 的 计算 ,都 是 模 p 下 的 
运算 。 

D g(x) 中 的 系数 a1，,…,as1 是 从 [0,p 一 1] 中 整数 的 均匀 分 布 中 随机 地 选取 的 。 
Dy De 的 计算 ,都 是 模 p 下 的 运算 。 

(3) 当 给 定 个 小 块 D; Dy, ,…,D;, 时 ,可 以 根据 拉 格 朗 日 多 项 式 ,重新 构造 q): 


asics p (4-7) 


因为 进行 的 是 模 p 下 的 运算 ， 所 以 起 (并 oie MDE 出 模 p 的 道 之 后 
行 乘 法 运算 实现 的 。 

(4) 密码 分 析 员 得 到 一 1 块 D;,…,D;,_, 的 情形 ,任何 [0,p 一 1] 中 的 整数 DD 都 有 可 
能 成 为 真正 D 的 候选 值 。 对 每 一 个 D., 密码 分 析 员 能 构造 且 仅 能 构造 一 个 & 一 1 次 多 项 
式 g(x) ,满足 

gq (0) =D" (4-8) 
及 
d Gi) = Dy, sq’ Gu) = Dy, (4-9) 

由 构造 方法 可 知 , 这 p 个 可 能 的 多 项 式 作 为 a(z) 的 概率 都 是 相等 的 ,密码 分 析 员 得 
不 到 能 够 帮助 其 推导 出 q(x) 的 任何 信息 。 

因此 ,根据 上 面 的 分 析 可 以 得 出 如 下 的 结论 : Shamir 的 门限 方案 满足 本 节 开 始 时 所 
阐述 的 两 项 要 求 。 

下 面 举 一 个 具体 的 例子 。 

例 Sk=3.n=5,p=19.D=11. 7EL0.18 | PRALINE g(x) 的 系数 a, =2,a: =7, 
因此 


q(x) = (727 十 2z 十 11)mod 19 (4-10) 
分 别 计算 出 
Dı = q(1) = (7 +2 +11)mod 19 = 20 mod 19 = 1 (4-11) 
D: = q(2) = (28 +4 + 11)mod 19 = 43 mod 19 = 5 (4-12) 
D: = q(3) = (63 +6 +11)mod 19 = 80 mod 19 = 4 (4-13) 
D, = q(4) = (112 +8 + 11)mod 19 = 131 mod 19 = 17 (4-14) 
D; = (5) = (175 +10 + 11)mod 19 = 196 mod 19 = 6 (4-15) 


确定 其 中 3 个 小 块 D: =5, D; =4 Al Dis 王 6, 就 可 以 通过 拉 格 朗 日 插值 多 项 式 求 出 
g(x)。 从 而 有 
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(w= 


So aN) * CDECD 
_ (x3)(r—5) 
= 5+ inv(3,19) 。(z 一 3)(z 一 5) 
= 65(x — 3)(x — 5) (4-16) 


其 中 ,inv(3,19) 王 13 表示 3，13 三 1(mod 19)。 此 外 ,还 有 


(E Sat — 5) 4 S22) (a — 5) 
(3—2)(3 — 5) €1)«— 2) 


Ce — 2)Ca@—5) 
—2 


= 4 inv(— 2,19) + (z= 2) = 5) 
= 4 e inv(17,19) » (x—2)(x—5) 


=4 


= 36(r1 — 2) (a — 5) (4-17) 
及 
Cr — DC —3) 6 (e= 2) ka —3) 
C5i— 2)K5:— 3) (3)(2) 
一 6 (a ait 3) 
= ĝ » inv(6.19) 。 (x — 2)(x— 3) 
= 6+ 16 è (x—2)(x—5) 
= 96 (x — 2) (x — 3) (4-18) 
所 以 


qdqCz) 一 [65(z 一 3)(z 一 5) 十 36(z 一 2)(Cz 一 5) 十 96(z 一 2)(z 一 3)]mod 19 
一 [8(z 一 3)(z 一 5) 十 17(Cz 一 2)(z 一 5) 十 (Cz 一 2)(z 一 3)]mod 19 
= (26x? — 188x + 296)mod 19 
= 72? +2x +11 (4-19) 
因此 ,只 要 知道 D: =5, D, =4 和 Ds 二 6, 就 可 以 求 出 
D=q(0) = 11 (4-20) 
如 果 尝 试 任意 其 他 3 个 D, 值 ,也 可 以 得 到 相同 的 结果 。 


4.7.2.2 Asmuth-Bloom 门限 方案 


1980 年 ,Asmuth 和 Bloom 提出 了 一 种 基于 中 国 剩余 定理 的 (k,n) 门 限 方案 。 这里， 
各 小 块 D; 与 一 个 和 DD 相关 的 数 D' 同 余 。 在 俩 人 的 方案 中 , 令 
P E E E E 
为 满足 下 述 条 件 的 整数 : 
(1) p>D 
(2) dı Kd: < <d, 
(3) gcd(p,d:)=1,1 Kin 
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(4) gcd(di dj) =1,iFj Si jn 
(5) didz-*de > Pdn—1+2dn—2+3°7°dn 
FEAF (3) ACA) BEA RHR { ped :ad:,…:cd,} 是 两 两 互 素 的 ; 条 件 (5) 说 明 ,k 个 最 
小 的 d; 的 乘积 大 于 p 和 k 一 1 个 最 大 的 d: ng 令 m=d, dzd, 是 k 个 最 小 的 d; 的 
乘积 , 则 m/p 大 于 任何 & 一 1 个 d; 的 乘积 。 在 [0,(m/p) 一 1] 的 范围 内 随机 地 选取 一 
r, 计 算出 D' 二 D 十 rp。 由 的 选取 方法 和 条 件 (1) 可 知 ,D' 一 定 在 [0,m 一 1j 的 范围 之 内 。 
最 后 ,如 下 计算 出 个 DD; 块 : 
D; = D’ mod di;,l <i<n (4-21) 
只 要 知道 上 述 D: 块 中 的 任意 & 个 ,例如 ,D; ,…,D; ,就 可 以 应 用 中 国 剩余 定理 求 
出 DD 
y 三 D’(modm) (4-22) 
其 中 m =d; didi. AN mm SRV EY D' 是 唯一 确定 的 。 求 出 D' 后 ,就 不 
难 算出 
D=D'—rp 
相反 ,如 果 仅 仅 知道 4 一 1 块 D,, 即 知道 D; ,…,D;_, , 则 只 能 应 用 中 国 剩余 定理 求 出 
满足 下 列 同 余 式 
y = D; (mod d;).1<j <k—1 (4-23) 
的 
y = D” (mod m:) (4-24) 
其 中 ms = da sda 。 因 为 m/m>p, HH gced(m.p)=1 ,所 以 在 [0,mj 中 与 D'i 
m 同 余 的 数 在 所 有 的 模 p 的 同 余 类 中 均匀 地 分 布 .即使 没有 足够 的 信息 能 够 确定 出 D 
下 面 用 一 个 具体 的 例子 说 明 上 述 同 余 类 CR,z) 门 限 方案 。 
Bl + k=2,n=3,D=4,p=7,d, =9,d:=11,d; =13. 
因为 m=did:=9 + 11=99>91=7 + 13=p ° d; ,所 以 满足 同 余 类 方案 的 要 求 。 可 


以 在 
[0,99/7 一 1] = [0.13] 
中 随机 地 选取 一 个 "一 10, 因 此 
D' = D+rp = 4+10+-7=74 


分 别 计算 出 
D, = 74 mod 9 = 2 
D: = 74 mod 11 = 8 
D: = 74 mod 13 = 9 
由 上 述 计算 可 知 
y = D' (mod 9 » 11 + 13) 
是 建立 同 余 式 


y = 8(mod 11) 


(>= 2(mod 19) 
y = 9(mod 13) 
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的 解 , 其 中 了 一 74。 
如 果 知 道上 面 D; 中 的 任意 两 个 ,就 可 以 计算 出 D。 假 如 ,已 知 D =2 和 D: 一 8, 则 有 
m, = dida = 9 4 11 = 99 
为 了 引用 中 国 剩余 定理 ,首先 要 求 出 
yı = inv(m,/d,,d,) = inv(11,9) = 5 
All 
ya = invGm,/dz,d,) = inv(9,11) = 5 
其 中 inv(a,b)=c 表示 a* c=1(mod b)。 因 此 


也 “一 (an + (2 eee] mod m, 


一 [11.5。2 十 9。5。8] mod 99 
[110 +360] mod 99 
一 74 


最 后 ,计算 出 


D=D'—rp =74—10+-7=4 

Asmuth 和 Bloom 设计 了 一 个 有 效 的 重新 构造 D 的 算法 ,其 运算 量 是 OCR) ,存储 量 
OGr) 。 因 此 ,他 们 的 方案 更 有 效 于 前 述 的 Shamir 多 项 式 方案 ,回忆 Shamir 的 门限 方案 
所 需要 的 工作 量 是 Ok log*k)。 当 然 ,在 DD 值 不 大 的 情况 下 ,这 两 个 方案 区 别 不 大 。 

最 后 阐述 一 种 有 意义 的 观点 。 门 限 方案 通 过 不 供给 任何 & 一 1 个 Di 块 足够 的 信息 重 
新 构造 D 的 方法 ,达到 了 无 条 件 的 保密 性 。 那 么 ,如 何 解 释 在 第 2 章 曾 经 讲 过 的 “一 次 一 
密 系统 是 唯一 的 无 条 件 保密 的 密码 系统 "这 一 事实 呢 ?Blakley 指出 ,可 以 把 一 次 一 密 系 
统 视 为 一 个 保护 信息 M W kR=2 的 门限 方案 。 这 里 ,发 送 者 和 接收 者 各 有 一 个 密 钥 Mi 
的 复制 ,将 Mi 看 成 是 一 块 DB Di 二 Mi。 第 2 块 D; 是 由 发 送 者 构造 并 传送 给 接收 者 
的 密 文 M2 =MOM, , 即 D: 一 M: 。 为 了 重新 构造 出 M, 必 须 同时 具备 Mi 和 Ms , 缺 一 不 
可 。 这 种 将 一 次 一 密 系统 归 类 为 密 钥 门限 方案 的 观点 的 意义 在 于 ,从 另 一 个 角度 解释 了 
只 有 一 次 一 密 系统 ,而 不 是 其 他 密码 系统 是 理论 上 不 可 破 的 密码 系统 的 原因 。 


4.7.3 秘密 共享 的 例子 


例 1 有 骗子 的 秘密 共享 

有 许多 方法 可 欺骗 门限 方案 ,下 面 是 几 种 可 能 的 情景 。 

情景 1 来 自 内 部 的 人 员 不 配合 : 上 校 A、B 和 C 在 某 个 隔离 的 地 下 掩体 中 。 一 天 ， 
他 们 从 总 统 那 里 得 到 密码 消息 :“ 发 射 导 弹 , 根 除 这 个 国家 的 神经 网 络 ”"。 于 是 要 求 AB 
和 C 出 示 他 们 的 “影子 ”, 一 起 发 射 导弹 。 但 C 却 输入 一 个 随机 数 , 因 为 她 实际 上 是 和 平 
主义 者 ,并 不 想 发 射 导弹 。 结 果 , 由 于 C 没有 输入 正确 的 “影子 ”, 因 此 他 们 恢复 出 来 的 秘 
密 是 错误 的 ,导弹 还 是 停放 在 发 射 井 中 ,不 能 发 射 。 更 麻烦 的 是 ,没有 人 知道 为 什么 会 这 
样 。 即 使 A 和 B 一 起 努力 ,他 们 也 不 能 证 明 C 的 “影子 ”是 无 效 的 。 

情景 2 来 自 外 部 的 人 员 人 窃取 内 部 人 员 的 “影子 ”: 上 校 A 和 B 与 M 正 坐 在 掩体 中 。 
M 假装 也 是 上 校 ,他 并 没有 合法 的 “有 影子”, 而 其 他 人 都 没有 办 法 识破 。 同 样 要 求 发 射 导 
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弹 的 消息 从 总 统 那 里 来 了 ,并 且 每 人 都 出 示 了 他 们 的 “影子 ”“ 哈 , 哈 1”M 说 ,“ 我 伪造 了 
从 总 统 那里 来 的 消息 ,现在 我 知道 你 们 两 人 的 “影子 "了 ?”。 

情景 3 来 自 外 部 的 人 员 人 窃取 秘密 : 上 校 A.B 和 C 与 M 一 起 坐 在 掩体 中 ,M 还 是 伪 
装 的 ,没有 合法 的 影子 。 同 样 要 求 发 射 导弹 的 消息 从 总 统 那里 来 了 ,并 且 每 人 都 出 示 了 他 
们 自己 的 “影子 ”, 而 M 在 看 到 他 们 3 人 的 “影子 ”之 后 , 才 出 示 自 己 的 “影子 ”。 由 于 要 重 
构 这 个 秘密 只 需要 3 个 “影子 ”, 因 此 M 可 以 很 快 地 产生 一 个 有 效 的 “影子 ?并 出 示 。 这 
样 ,M 不 仅 知 道 了 秘密 ,而 且 还 没有 人 知道 他 并 不 是 这 个 秘密 共享 方案 的 一 部 分 这 个 
事实 。 

例 2 没有 TT 的 秘密 共享 

假设 在 5 个 官员 中 必须 要 有 3 个 人 同时 插入 他 们 的 钥匙 才能 打开 银行 的 金库 。 没 有 
人 知道 整个 秘密 ,也 没有 裁判 者 工 来 把 秘密 分 成 5 部 分 ,而 是 使 用 一 种 5 个 官员 可 以 恢 
复 秘密 的 协议 。 通 过 这 个 协议 ,每 人 分 得 一 部 分 秘密 ,而 官员 们 在 重 构 秘密 之 前 ,无 人 知 
道 这 个 秘密 。 

在 本 书 中 不 准备 讨论 这 些 协议 。 

例 3 不 暴露 共享 的 共享 秘密 

上 述 方案 有 一 个 问题 ,就 是 当 每 个 人 聚 到 一 起 重 构 秘 密 时 ,就 可 能 暴露 他 们 自己 的 
秘密 。 

其 实 可 以 采用 这 种 方法 避免 出 现 这 种 情况 : 如 果 最 终 的 共享 秘密 是 私 钥 (例如 数字 
签名 ) ,那么 n 个 共享 者 中 的 每 一 个 都 可 以 完成 文件 的 一 部 分 签名 。 在 第 n 部 分 签名 后 ， 
文件 已 经 用 共享 的 私 钥 签 名 ,并 且 共 享 者 中 没有 人 了 解 任 何其 他 人 的 秘密 。 

这 个 例子 要 说 明 的 是 ,秘密 能 够 重用 是 关键 ,并 且 不 必用 可 信 的 处 理 器 去 处 理 它 。 

例 4 可 验证 的 秘密 共享 

假设 全 给 ABYC 和 D 每 人 分 配 了 一 部 分 秘密 。 他 们 中 的 任何 人 想 知 道 他 们 是 否 持 
有 有 效 秘密 部 分 ,唯一 的 办 法 就 是 尝试 着 去 重 构 秘 密 。 假 设 工 发 给 B 一 个 假 的 共享 秘 
密 ,或 者 由 于 通信 错误 ,B 偶然 接收 到 一 个 坏 的 共享 秘密 。 因 此 要 求 可 验证 的 秘密 共享 方 
案 能 够 允许 他 们 中 的 每 个 人 分 别 验 证 自己 持 有 一 个 有 效 的 共享 秘密 ,而 不 用 重 构 这 个 
秘密 。 

Bis 带 预防 的 秘密 共享 方案 

假设 一 个 秘密 被 分 给 50 个 人 ,只 要 其 中 的 任何 10 个 人 在 一 起 ,就 可 以 重 构 这 个 秘 
密 。 一 般 情况 下 ,这 个 要 求 是 容易 满足 的 。 但 是 ,如 果 增 加 约束 条 件 ,要 20 人 在 一 起 才能 
恢复 秘密 ,同时 还 要 防止 其 他 人 重 构 秘密 时 ,我 们 能 实现 这 种 秘密 共享 方案 吗 ? 是 不 是 有 
多 少 人 共享 秘密 都 没有 问题 ? 

从 数学 上 看 ,基本 思想 是 每 个 人 得 到 两 个 共享 秘密 的 可 能 : 一 个 “是 ”和 一 个 “ 否 ”。 
当 重 构 秘 密 时 ,每 个 人 提交 他 们 的 一 个 共享 。 他 们 提交 的 实际 共享 依赖 于 他 们 是 否 希 望 
ERIR. MRA m 或 更 多 个 “是 ”共享 ,和 少 于 n 个“ 否 ”" 共 享 , 那 么 秘密 就 能 够 被 重 构 ， 
则 ,不 能 重 构 。 

当然 ,如 果 没 有 “ 否 ” 共 享 的 人 ,没有 任何 事情 能 防止 足够 数量 的 “是 ”共享 的 人 钻 牛 角 
,去 重 构 秘 密 。 但 是 在 每 个 人 提交 他 们 的 共享 进入 中 心计 算 机 的 情况 下 ,这 个 方案 
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可 行 。 

例 6 带 除名 的 秘密 共享 

假设 某 人 正在 安装 秘密 共享 系统 ,现在 他 想 解雇 一 名 共享 者 。 虽 然 可 以 安装 没有 那 
个 人 的 新 方案 系统 ,但 很 费时 。 现 在 要 设计 一 套 方案 ,在 原 有 秘密 共享 系统 的 基础 上 ,加 
上 除名 的 功能 。 

有 多 种 方法 处 理 这 个 系统 ,一 旦 有 一 个 参与 者 变 成 不 可 信 时 ,就 可 以 立即 启用 新 的 共 
享 方案 。 


4.8 数据 库 的 密码 保护 


4.8.1 数据 库 安 全 的 重要 性 


数据 库 是 当今 信息 社会 中 数据 存储 和 人 处理 的 核心 ,其 安全 性 对 于 整个 信息 安全 极为 

首先 ,数据 库 安全 对 于 保护 组 织 的 信息 资产 非常 重要 。 组 织 中 绝 大 部 分 信息 资产 都 
是 保存 在 数据 库 中 的 ,拥有 这 些 信 息 资 产 的 组 织 必须 保证 这 些 信息 不 被 非 授 权 的 形式 
访问 。 

其 次 ,保护 数据 库 系统 所 在 网 络 系统 和 操作 系统 非常 重要 ,但 仅仅 如 此 远 不 足以 保 
证 数据 库 系统 的 安全 。 很 多 有 经 验 的 安全 专业 人 士 有 一 种 常见 的 误解 一 一 一 旦 评估 和 
消除 了 服务 器 上 的 网 络 服务 和 操作 系统 的 脆弱 性 ,该 服务 器 上 所 有 应 用 就 都 是 安全 的 
了 。 实 际 上 ,现代 的 数据 库 系统 有 很 多 特征 可 以 被 误 用 或 利用 来 损害 系统 中 的 数据 
安全 。 

再 次 ,数据 库 安 全 的 不 足 不 仅 会 损害 数据 库 本 身 , 而 且 还 会 影响 到 操作 系统 和 整个 网 
络 基础 设施 的 安全 。 例 如 ,很 多 现代 数据 库 都 有 内 置 的 扩展 存储 过 程 ,如 果 不 加 控制 , 攻 
击 者 就 可 以 利用 它 来 访问 系统 中 的 资源 。 

最 后 ,数据 库 是 电子 商务 .电子 政务 .ERP 等 关键 应 用 系统 的 基础 , 它 的 安全 也 是 这 
些 应 用 系统 的 基础 。 

总 之 ,数据 库 系统 在 给 人 们 带 来 了 方便 和 效率 的 同时 ,也 带 来 了 对 安全 方面 更 高 的 要 
求 。 因 此 ,数据 库 的 安全 问题 十 分 重要 ,必须 给 予 高 度 重视 。 


4.8.2 数据 库 的 安全 问题 


为 了 使 数据 库 的 安全 性 得 到 保证 和 不 断 加 强 ,首先 需要 知道 数据 库 所 存在 的 安全 问 
题 。 在 本 节 中 ,对 数据 库 的 安全 威胁 和 安全 需求 两 个 方面 进行 说 明 。 

通过 图 4-13 可 以 看 出 ,数据 库 面 临 着 严重 的 安全 威胁 。 

具体 来 讲 , 主 要 有 以 下 因素 : 

(1) 数据 输入 或 处 理 中 的 错误 。 例 如 ,准备 输入 的 数据 在 输入 前 已 被 修改 ,有 的 机 密 
数据 在 输入 到 计算 机 之 前 已 被 公开 ,在 数据 处 理 操作 中 的 误 操 作 等 , 均 会 使 数据 出 错 。 

(2) 硬件 故障 引起 的 信息 破坏 或 丢失 。 例 如 ,操作 系统 设计 上 的 缺陷 ,缺少 存 取 控制 
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硬件 失效 造 软件 保护 功能 
未 授权 用 户 的 非法 存 取 成 信息 破坏 效 造 成 信息 泄露 
( 偷 穿 、 自 改 、 删 除 ) 


应 用 程序 员 设 计 了 
特洛伊 木马 软件 


用 户 终端 


终端 使 用 者 隐瞒 身份 
进行 不 正确 的 输入 


计算 机 


授权 者 制定 了 不 正确 
的 数据 库 安全 策略 


= 
病毒 入侵 系统 ， 修 改 设计 者 回避 安全 功能 ， MERN 
或 破坏 数据 库 软 件 安装 不 安全 的 系统 ”终端 放置 在 不 安全 环 

境 中 使 信息 被 穿 听 


图 4-13 数据 库 面 临 的 安全 威胁 


或 破坏 了 存 取 控 制 机 制 ,造成 信息 泄露 。 

(3) 软件 保护 功能 失效 造成 信息 泄露 。 例 如 ,操作 系统 设计 上 的 缺陷 ,缺少 存 取 控制 
机 制 或 破坏 了 存 取 控制 机 制 ,造成 信息 泄露 。 

C4) 非 授 权 用 户 的 非法 存 取 或 自 改 数据 。 例 如 ,数据 库 管理 人 员 对 数据 的 使 用 权限 
不 进行 严格 的 管理 ,对 哪些 用 户 有 数据 访问 权 、 哪 些 用 户 有 数据 修改 更 新 权 等 缺乏 严格 的 
检查 控制 措施 ; 对 用 户 在 计算 机 上 的 活动 没有 进行 监督 检查 ,致使 非 授 权 用 户 非 法 存 取 ， 
合法 用 户 对 数据 进行 自 改 。 

G) 授权 者 指定 不 正确 、 不 安全 的 防护 策略 。 

(6) 操作 者 复制 和 泄露 机 密 、 敏 感 数 据 资料 。 

(7) 系统 设计 者 回避 安全 功能 ,安装 不 安全 的 系统 。 

(8) 应 用 程序 员 设 计 、 安 装 了 特洛伊 木马 软件 。 

(9) 终端 放置 在 不 安全 的 环境 中 而 被 窃听 。 

(10) 终端 使 用 者 隐瞒 自己 身份 ,进行 不 正确 的 输入 。 

C11) 病毒 侵入 系统 ,破坏 或 修改 了 数据 库 软 件 。 

面 对 数 据 库 的 安全 威胁 ,需要 通过 有 效 措施 来 满足 怎样 的 安全 需求 呢 ? 这 主要 包括 
以 下 几 个 方面 : 

(1) 防止 非法 数据 访问 。 这 是 数据 库 安 全 最 关键 的 需求 之 一 。 数 据 库 管理 系统 必须 
根据 用 户 或 应 用 的 授权 来 检查 访问 请 求 , 以 保证 仅 允 许 授权 的 用 户 访问 数据 库 。 

(2) 防止 推导 。 推 导 指 的 是 用 户 通过 授权 访问 的 数据 ,经 过 推导 得 出 的 机 密 信 息 ,而 
按照 安全 策略 用 户 是 无 权 访问 该 机 密 信 息 的 。 在 统计 数据 库 中 需要 防止 用 户 从 统计 聚合 
信息 中 推导 得 到 原始 个 体 信息 ,特别 是 统计 数据 库容 易 受 到 推导 问题 的 影响 。 

G) 保证 数据 库 的 完整 性 。 该 需求 指 的 是 保护 数据 库 不 受 非 授权 的 修改 ,以 及 不 会 
因为 病毒 、 系 统 中 的 错误 等 导致 的 存储 数据 破坏 。 

(4) 保证 数据 的 操作 完整 性 。 这 个 需求 定位 于 在 并 发 事务 中 保证 数据 库 中 数据 的 逻 
辑 一 致 性 。 
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G) 数据 的 语义 完整 性 。 这 个 问题 主要 是 在 修改 数据 时 保证 新 值 在 一 定 范围 内 以 确 
保 逻 辑 上 的 完整 性 。 

(6) 审计 和 日 志 。 为 了 保证 数据 库 中 数据 的 安全 ,一 般 要 求 数据 库 管理 系统 能 够 
将 所 有 的 数据 操作 记录 下 来 ,以 便 事后 调查 和 分 析 , 追 查 入 侵 者 或 发 现 系统 的 安全 
弱点 。 

(7) 标识 和 认证 。 各 种 计算 机 系统 的 用 户 管理 类 似 , 使 用 的 方法 也 非常 类 似 。 与 其 
他 系统 一 样 ,标识 和 认证 也 是 数据 库 的 第 一 道 安全 防线 。 

(8) 机 密 数 据 管理 。 数 据 库 中 的 数据 有 部 分 可 能 是 机 密 数据 ,也 有 可 能 全 部 是 机 密 
数据 (如 军队 的 数据 库 ) ,而 有 些 数据 库 中 的 数据 全 部 是 公开 的 数据 。 访 问 控制 主要 保证 
机 密 数 据 的 保密 性 , 仅 允 许 授 权 用 户 的 访问 。 

(9) 多 级 保护 。 多 级 保护 表示 一 个 安全 需求 的 集合 。 在 多 级 保护 体系 中 ,对 不 同 数 
据 项 赋予 不 同 的 保密 级 别 , 然 后 根据 数据 项 的 密级 给 访问 数据 项 的 操作 赋予 不 同 的 级 别 。 

C10) 界限 。 界 限 的 意义 在 于 防止 程序 之 间 出 现 非 授 权 的 信息 传递 。 


4.8.3 密码 学 在 数据 库 安 全 上 的 应 用 


任何 组 织 的 成 员 数 据 库 都 是 有 价值 的 。 一 方面 ,需要 把 数据 库 分 配给 所 有 成 员 ,使 
他 们 能 够 互相 通信 ,交换 想法 。 另 一 方面 ,如 果 把 成 员 数 据 库 分 配给 每 个 人 ,也 会 造成 
一 些 不 希望 的 后 果 , 例 如 ,副本 落 入 保险 商人 之 手 和 其 他 恼人 的 垃圾 邮件 供应 者 之 

密码 学 可 以 改善 这 个 问题 。 使 用 加 密 数据 库 ,使 得 易于 提取 单个 人 的 地 址 ,而 难于 提 
取 所 有 成 员 的 邮件 名 单 。 

选用 一 个 单 向 Hash 算法 和 对 称 加 密 算 法 。 数 据 库 中 的 每 个 记录 有 两 个 字段 : 索引 
字段 和 数据 字段 。 下 面 是 一 种 方案 : 

索引 字段 是 成 员 的 姓 , 用 单 向 Hash 算法 进行 运算 。 数 据 字段 是 全 名 和 成 员 的 地 址 ， 
用 姓 作为 密 钥 对 数据 字段 加 密 。 除 非 知道 这 个 人 的 姓 , 和 否则 不 可 能 解密 数据 字段 。 

这 样 加 密 之 后 ,就 容易 搜索 一 个 指定 的 姓 。 具 体 做 法 是 : 首先 ,对 姓 进行 Hash 运 
算 ,并 在 数据 库 的 索引 字段 中 搜寻 散 列 值 。 如 果 匹 配 ,那么 这 个 人 的 姓 就 在 数据 库 中 。 如 
果 有 几 个 匹配 ,那么 就 有 几 个 人 同姓 。 最 后 ,对 每 个 匹配 的 项 ,用 姓 作 为 密 钥 解密 出 全 名 
和 地 址 。 

例如 ,有 文献 采用 这 种 系统 对 6000 个 西班牙 动词 的 字典 进行 保护 。 加 密 只 引起 很 小 
的 性 能 降低 。 附 加 的 复杂 性 就 是 处 理 搜寻 多 个 索引 ,但 思想 还 是 相同 的 。 

这 个 系统 的 主要 问题 是 当 不 知道 怎么 拼写 他 们 的 名 字 时 ,就 不 可 能 搜寻 所 要 找 的 人 。 
当然 可 以 尝试 各 种 拼 法 ,直到 找到 正确 的 拼 法 为 止 。 如 果 搜 寻 Schneier 时 ,扫描 所 有 以 
Sch 开头 的 名 字 就 不 行 。 

但 是 ,这 种 保护 是 不 完善 的 。 如 果 某 个 特别 固执 的 保险 商人 通过 试验 所 有 可 能 的 姓 ， 
就 可 能 重 构成 员 的 数据 库 。 如 果 他 有 电子 数据 库 , 他 就 可 以 把 它 作 为 一 个 可 能 的 姓氏 表 
来 建立 数据 库 。 在 计算 机 上 做 这 件 事 的 代价 是 要 花费 几 个 星期 的 时 间 , 但 是 是 可 行 的 。 
在 垃圾 邮件 社会 中 ,做 这 种 工作 更 难 ,而 且 “ 更 难 ” 很 快 会 变 成 “ 太 贵 ”。 
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本 


节 、 第 4.3.3 节 ,第 4.4.1 节 ,第 4.4.2 节 ; 研究 生 教学 可 适量 增加 第 4. 4. 5 


节 、 第 4.4.9 节 。 建 议 后 面 几 个 小 节 的 内 容 用 于 自学 ,以 扩大 阅读 范围 。 


本 章 重 点 和 难点 


章 重点 是 前 4 个 小 节 。 作 为 本 科教 学 ,建议 课堂 讲授 第 4. 1 节 、 第 4.2 节 第 4.3.1 


节 、 第 4. 4.6 


本 章 难 点 是 清楚 描述 安全 协议 要 解决 的 问题 ,以 及 解决 这 些 问 题 采用 的 几 种 技术 


手段 。 


习题 


1 
2 
3. 
4 


与 思考 题 


. 基本 的 安全 协议 有 哪些 ? 主要 解决 哪些 安全 问题 ? 
. 试 述 安 全 协议 的 形式 化 分 析 的 重点 。 


密 钥 交 换 协 议 的 主要 目的 是 什么 ? 


. 安全 协议 的 第 一 步 是 认证 。 试 述 认 证 协议 的 演化 进程 
. 用 C 语言 编写 一 个 SKEY 认证 程序 。 
. 试 在 信息 认证 中 设计 一 种 使 第 三 方 信任 的 协议 形式 。 


试 举 出 一 些 秘密 分 割 应 用 的 实例 。 


. 试 设计 一 个 带 除名 的 秘密 共享 协议 。 

. 试 设计 一 种 协议 ,对 付 字 典 式 攻 击 。 

. 试 分 析 随 机 数 在 对 称 密 钥 的 管理 和 协议 改进 中 的 作用 。 
. 试 设计 一 个 没有 仲裁 的 密 钥 分 割 协 议 。 

. 举例 说 明 密 码 学 对 于 数据 库 安全 性 提高 所 起 的 作用 。 


. 试 述 基 本 的 安全 协议 所 面临 的 主要 攻击 ,以 及 为 了 防止 这 些 攻击 需要 采取 的 
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章 介 绍 安全 协议 的 一 些 特殊 应 用 要 求 , 以 及 相应 的 技术 手段 。 
本 章 共 分 为 四 个 小 节 , 第 5.1 节 介 绍 抗 攻击 的 密 钥 交换 协议 ; 第 5.3 节 介 绍 抗 攻击 
的 认证 协议 ; 第 5.4 节 是 本 章 重 点 和 难点 分 析 。 


5.1 对 安全 协议 的 设计 和 分 析 方 法 


5.1.1 对 协议 的 典型 攻击 


对 于 安全 协议 的 分 析 和 设计 ,安全 性 是 首要 因素 ,而 实际 上 可 以 认为 是 它 抵抗 某 些 攻 
击 的 能 力 。 网 络 中 的 攻击 主要 分 为 两 类 ,要 求 安全 协议 能 够 抵抗 它们 。 


1. 被 动 攻击 


攻击 者 通过 搭 线 窃 听 等 方式 ,获得 安全 协议 的 部 分 消息 (例如 明文 或 者 密 文 ) 。 

攻击 者 可 以 通过 收集 明文 - 密 文 对 来 破译 密码 ,获取 一 些 秘密 。 例如: 某 次 会 话 密 
钥 , 某 个 主体 的 私 钥 等 。 

被 动 攻击 难以 检测 ,因为 它们 并 不 会 导致 数据 有 任何 改变 。 然 而 ,防止 这 些 攻击 是 可 
能 的 ,因此 ,对 付 被 动 攻击 的 重点 是 采取 加 密 传输 等 预防 措施 。 


2. 主动 攻击 


通常 是 指 非法 修改 计算 机 网 络 中 传输 的 报 文 。 这 些 攻 击 涉及 某 些 数 据 流 的 算 改 或 一 
个 虚假 数据 流 的 产生 。 

主动 攻击 还 可 分 为 4 类 : 伪装 、 重 放 、 算 改 和 拒绝 服务 。 例 如 : 攻击 者 把 截获 的 消息 
伪造 . 自 改 或 者 有 意 地 重 放 某 些 消 息 , 以 引起 协议 的 不 规则 运行 ,从 中 获取 一 些 秘密 ,甚至 
假冒 某 个 合法 的 主体 。 数 字 签 名 保证 了 消息 的 不 可 算 改 ,抵御 拒绝 服务 攻击 必须 采取 其 
他 措施 。 公 和 钥 密码 体制 下 基于 数字 签名 的 协议 遭受 的 首要 威胁 是 假冒 .其 次 是 重 放 。 要 
实施 重 放 攻 击 ,一 般 先 要 假冒 身份 。 假 冒 是 指 攻 击 者 冒充 一 个 实体 的 身份 ; 重 放 是 指 复 
制 一 个 消息 或 报 文 ,重新 传送 以 产生 未 经 授权 的 影 

需要 注意 的 是 : 攻击 者 不 一 定 是 协议 外 部 的 实体 ,他 可 能 是 一 个 合法 用 户 , 也 可 能 是 
一 个 系统 管理 者 。 

通过 对 安全 协议 的 深入 剖析 ,大 家 发 现 单 靠 安 全 的 密码 算法 是 远 远 不 够 保证 其 安全 
的 ,安全 协议 本 身 的 结构 也 对 它 的 安全 性 产生 显著 的 影响 。 有 时 攻击 者 可 能 不 知道 密 钥 ， 
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但 还 是 可 以 利用 协议 结构 上 的 漏洞 发 起 主动 攻击 。 显 然 ,这 种 隐患 更 值得 警惕 。 

因此 ,对 安全 协议 进行 分 析 的 目的 ,就 是 要 使 协议 的 安全 性 完全 依赖 于 它 所 采用 的 密 
码 体制 的 安全 性 , 尽 可 能 地 消除 由 于 协议 本 身 的 结构 所 造成 的 安全 隐患 ,使 得 攻击 者 除了 
破译 密 钥 之 外 , 别 无 他 法 。 


5.1.2 对 协议 安全 性 的 分 析 


安全 协议 是 许多 分 布 式 系统 安全 的 基础 ,确保 这 些 协议 的 安全 运行 是 极为 重要 的 。 

大 多 数 实用 的 安全 协议 只 有 为 数 不 多 的 几 个 消息 传递 ,其 中 每 一 个 消息 都 是 经 过 巧 
妙 设计 的 ,消息 之 间 存 在 着 复杂 的 相互 作用 和 制约 ; 同时 ,安全 协议 中 使 用 了 多 种 不 同 的 
密码 体制 。 安 全 协议 这 种 复杂 的 情况 导致 目前 的 许多 安全 协议 存在 安全 缺陷 。 

造成 协议 存在 安全 缺陷 的 原因 主要 有 两 个 : 一 是 协议 设计 者 误解 或 者 采用 了 不 恰当 
的 技术 ; 二 是 协议 设计 者 对 环境 要 求 的 安全 需求 研究 不 足 。 因 此 ,对 协议 的 安全 性 进行 
分 析 和 研究 是 一 个 重要 的 课题 。 

目前 ,对 安全 协议 进行 分 析 的 方法 主要 有 两 大 类 : 一 类 是 攻击 检验 方法 ; 一 类 是 形 
式 化 的 分 析 方 法 。 

所 谓 攻击 检验 方法 就 是 搜集 使 用 目前 对 协议 有 效 的 攻击 方法 ,逐一 对 安全 协议 进行 
攻击 ,检验 安全 协议 是 否 具有 抵抗 这 些 攻击 的 能 力 。 协 议 攻击 的 目标 通常 有 3 种 : 第 一 
是 协议 中 采用 的 密码 算法 ; 第 二 是 算法 和 协议 中 采用 的 密码 技术 ; 第 三 是 协议 本 身 。 

在 分 析 过 程 中 主要 使 用 自然 语言 和 示意 图 ,对 安全 协议 所 交换 的 消息 进行 剖析 。 这 
种 分 析 方 法 往往 是 非常 有 效 地 ,分 析 成 功 的 关键 在 于 攻击 方法 的 选择 。 


5.1.3 安全 协议 的 缺陷 


尽管 协议 设计 者 尽 可 能 在 协议 设计 时 回避 可 能 出 现 的 人 为 错误 ,但 是 安全 协议 在 实 
际 应 用 时 仍 会 出 现 各 种 类 型 缺陷 ,产生 的 原因 十 分 复杂 ,很 难 有 一 种 通用 的 分 类 方法 将 安 
全 协议 的 安全 缺陷 进行 分 类 。 

大 致 来 说 ,安全 协议 的 缺陷 从 来 源 上 可 分 为 两 类 : 一 类 是 由 于 设计 不 规范 引发 的 ; 
另 一 类 是 在 具体 执行 时 产生 的 。 

但 是 这 样 分 类 太 过 笼统 ,S. GritzAlis 和 D. Spinellis 根据 安全 缺陷 产生 的 原因 和 相应 
的 攻击 方法 对 安全 缺陷 进行 了 分 类 。 

(1) 基本 协议 缺陷 : 是 由 于 在 安全 协议 的 设计 中 没有 或 很 少 防范 攻击 者 而 引发 的 协 
议 缺陷 。 例 如 ,对 加 密 的 消息 签名 ,由 于 签名 者 并 不 一 定 知道 被 加 密 的 消息 内 容 , 而 且 签 
名 者 的 公 钥 是 公开 的 ,从 而 可 使 攻击 者 通过 用 他 自己 的 签名 替换 原来 的 签名 来 伪装 成 发 

(2) 口令 / 密 钥 猜测 缺陷 : 这 类 缺陷 产生 的 原因 是 用 户 往往 从 一 些 常 用 的 词 中 选择 
其 口令 ,从 而 导 致 攻击 者 能 够 进行 口令 猜测 攻击 ; 或 者 选取 了 不 安全 的 伪 随 机 数 生 成 算 
法 构造 密 钥 ,使 攻击 者 能 够 恢复 该 密 钥 。 口 令 猜 测 攻击 可 分 为 可 检测 的 口令 在 线 猜测 攻 
击 \ 不 可 检测 的 口令 在 线 猜测 攻击 和 可 离线 的 口令 猜测 攻击 3 类 。 

(3) 陈旧 消息 缺陷 : 主要 是 指 协议 设计 中 对 消息 的 新 鲜 性 没有 充分 考虑 ,从 而 使 攻 
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击 者 能 够 进行 消息 重 放 攻击 .包括 消息 源 的 攻击 、 消 息 目 的 攻击 等 。 根 据 消 息 的 来 源 与 去 
向 ,陈旧 消息 攻击 可 分 为 消息 来 源 攻击 和 消息 目的 地 攻击 。 

CA) 并 行 会 话 缺 陷 : 协议 对 并 行 会 话 攻击 缺乏 防范 ,从 而 导致 攻击 者 通过 交换 适当 
的 协议 消息 能 够 获得 所 需要 的 信息 。 包 括 并 行 会 话 单 角 色 缺 陷 . 并 行 会 话 多 角色 缺陷 等 。 

(5) 内 部 协议 缺陷 : 协议 的 可 达 性 存在 问题 ,协议 的 参与 者 中 至 少 有 一 方 不 能 完成 
所 有 必需 的 动作 而 导致 的 缺陷 。 

(6) 密码 系统 缺陷 : 协议 中 使 用 的 密码 算法 和 密码 协议 导致 协议 不 能 完全 满足 所 要 
求 的 机 密 性 、. 认 证 等 需求 而 产生 的 缺陷 。 

这 种 缺陷 的 分 类 圳 括 了 安全 协议 缺陷 来 源 的 3 个 主要 方面 : 

(1) 安全 协议 本 身 的 缺陷 。 

(2) 协议 需要 依赖 实施 机 制 所 产生 的 缺陷 。 

(3) 协议 具体 实施 时 产生 的 缺陷 。 

基本 协议 缺陷 和 并 行 会 话 缺 陷 属于 协议 本 身 的 缺陷 , 即 在 假设 协议 所 用 到 的 密码 算 
法 及 密码 技术 均 是 安全 的 前 提 下 ,协议 仍旧 存在 的 缺陷 。 口 令 / 密 钥 猜 测 缺陷 和 陈旧 消息 
缺陷 属于 协议 需要 依赖 实施 机 制 所 产生 的 缺陷 ,因为 这 些 缺 陷 的 产生 很 大 一 部 分 都 是 依 
赖 于 实施 采用 的 机 制 , 也 就 是 说 ,如 果 可 以 改善 这 些 机 制 , 那 么 就 有 可 能 避免 这 些 缺 陷 。 
内 部 协议 缺陷 和 密码 系统 缺陷 属于 具体 实施 时 产生 的 缺陷 , 即 在 具体 实施 过 程 中 会 出 错 
或 者 受到 攻击 。 


5.1.4 安全 协议 的 形式 化 分 析 


形式 化 的 分 析 方 法 是 采用 各 种 形式 化 语言 或 者 模型 ,为 安全 协议 建立 模型 ,并 按照 规 
定 的 假设 和 分 析 、 验 证 方法 证 明 协 议 的 安全 性 。 

在 过 去 二 十 年 中 ,形式 化 方法 应 用 于 广泛 的 领域 : 安全 模型 流 分 析 、 安 全 协议 分 析 、 
软件 验证 、 硬 件 验 证 、 体 系 结构 分 析 、 秘 密 信 道 分 析 等 。 

形式 化 方法 在 安全 学 界 最 大 的 成 功 是 应 用 它 分 析 安 全 协议 。 安 全 协议 足够 小 ,易于 
完成 形式 化 分 析 ,而 且 这 些 分 析 发 现 了 很 多 以 前 不 为 所 知 的 漏洞 。 

就 其 自身 而 言 .形式 化 分 析 技 术 是 有 局 限 性 的 。 协 议 系 统 的 运行 不 是 独立 的 ,而 是 处 
于 某 种 环境 之 下 。 系 统 的 形式 化 说 明 是 基于 对 系统 环境 的 某 种 假设 之 上 的 。 只 有 当 假 设 
成 立时 ,证 明 才 成 立 。 所 以 ,一 旦 某 种 假设 不 成 立 ,一 切 证 明 就 无 从 谈 起 。 而 人 侵 者 只 要 
违反 了 系统 的 假设 ,就 可 成 功 人 侵 系 统 。 而 且 , 即 便 明 确 给 出 假设 的 详细 说 明 ,也 不 可 避 
免 地 会 遗漏 一 些 情况 。 

安全 协议 的 安全 性 分 析 是 一 个 很 难 解决 的 问题 .许多 看 起 来 是 安全 的 、 并 广泛 应 用 的 
安全 协议 后 来 都 发 现存 在 安全 缺陷 。 因 此 ,研究 人 员 想 要 得 到 从 一 开始 就 能 证 明 协 议 安 
全 性 的 工具 。 虽 然 这 种 工作 很 多 都 可 以 应 用 到 一 般 的 密码 协议 中 去 ,但 是 研究 的 重点 却 
毫 无 例外 地 放 在 认证 和 密 钥 交换 上 。 

安全 协议 的 形式 化 分 析 至 少 可 以 完成 以 下 工作 : 

(1) 界定 协议 运行 系统 的 边界 。 

(2) 更 加 准确 描述 系统 的 行为 。 
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(3) 更 准确 地 定义 系统 的 特性 。 
(4) 证 明 系 统 在 特定 的 假设 前 提 下 满足 一 定 的 特性 。 


5.1.4.1 形式 化 分 析 方 法 的 分 类 


形式 化 分 析 方 法 最 早出 现 于 1989 年 ,Burrows、Abadi 和 Needham 提出 的 开创 性 的 
著作 A Logic of Authentication。 此 后 出 现 的 形式 化 分 析 方 法 大 致 可 以 分 为 3 类 : 基于 
模型 的 计算 方法 ,针对 复杂 系统 的 状态 探查 方法 ,符号 操作 观点 。 

基于 模型 的 计算 方法 将 攻击 和 被 攻击 的 目标 转化 为 一 个 游戏 背景 下 的 数学 模型 , 通 
过 对 时 间 复 杂 度 和 概率 模型 的 多 项 式 时 间 归 约 , 得 到 对 某 个 数学 难题 的 重大 突破 。 通 过 
证 明 这 个 重大 突破 的 不 可 能 发 生来 得 到 安全 性 的 满足 。 

针对 复杂 系统 的 状态 探查 方法 将 协议 模型 转化 成 一 个 代数 系统 ,表述 参与 者 对 协议 
知识 的 状态 ,通过 对 协议 中 主体 在 协议 过 程 中 的 不 同 状态 进行 分 析 , 并 对 其 建立 模型 。 然 
后 分 析 不 同 状 态 之 间 的 转移 关系 ,通过 转移 关系 之 间 的 关联 ,找到 不 确定 或 不 安全 状态 ， 
分 析 某 种 状态 的 可 达 性 ,确认 可 能 出 现 的 问题 。 模 型 检验 方法 始 于 20 世纪 90 年 代 , 美 国 
海军 实验 室 的 NRL 协议 分 析 器 属于 这 种 方法 。1993 年 由 McMillan KL 提出 的 符号 模 
型 检测 法 。1996 年 ,Lowe 首先 采用 CSP( 通 信和 顺序 进程 ) 方 法 和 模型 校 验 技 术 对 安全 协 
议 进行 形式 化 分 析 。 他 应 用 CSP 模型 和 CSP 模型 校 验 工具 FDR 分 析 了 NSPK 协议 ,并 
发 现 了 一 个 17 年 来 未 知 的 攻击 。 

符号 操作 观点 方法 建立 在 理论 计算 机 科学 家 对 形式 化 方法 的 研究 结果 之 上 。 在 这 种 
观点 下 ,安全 特性 表述 成 一 些 可 操作 的 抽象 符号 的 集合 ,通过 对 主体 的 信念 或 知识 的 演变 
进行 分 析 ,获得 主体 最 终 的 知识 集合 .并 从 知识 集合 中 推导 证 明 目 标 , 如 果 推 导 成 功 , 则 协 
议 能 够 满足 证 明 目 标 中 所 规定 的 属性 。 

以 M. Burrows.M. Abadi 和 R. Needham 提出 的 BAN 逻辑 为 先河 ,经 过 20 多 年 的 
不 懈 努 力 ,涌现 出 各 种 各 样 的 安全 协议 形式 化 验证 方法 和 相应 的 自动 验证 工具 。 

这 些 验证 方法 大 致 可 以 分 为 三 类 : 信念 逻辑 (belief logics) 方 法 、 模 型 检测 model 
checking) 方 法 和 推理 验证 (inductive proofs) 方 法 。 

基于 模型 的 计算 方法 和 符号 操作 观点 方法 是 通过 证 明 安 全 协议 能 够 满足 它 所 声明 的 
安全 属性 ,从 而 证 明 此 协议 是 安全 的 ; 第 二 种 方法 则 是 为 了 寻找 安全 协议 的 攻击 剧本 ,从 
而 证 明 此 协议 是 不 安全 的 。 图 5-1 给 出 了 安全 协议 的 形式 化 分 析 方 法 的 分 类 。 


协议 形式 化 规范 说 明 


推理 验证 | | 信 仿 逻辑 模型 检测 


Zo 


证 明 攻击 


图 5-1 安全 协议 的 形式 化 分 析 方 法 的 分 类 
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需要 指出 的 是 ,由 于 安全 协议 本 身 的 复杂 性 。 目 前 并 没有 一 种 方法 能 够 给 出 安全 协 
议 安全 性 的 充分 而 且 必 要 的 理论 证 明 。 上 述 每 一 类 方法 都 有 不 同 的 侧重 点 ,或 多 或 少 地 
存在 不 足 之 处 ,在 使 用 上 述 方 法 分 析 安 全 协议 的 时 候 。 应 当 仔 细 分 析 协 议 的 特点 、 应 用 环 
境 和 需求 ,综合 使 用 这 些 分 析 方 法 ,以 得 到 比较 合理 的 结果 。 

信念 逻 辑 (belief logics) 方 法 是 使 用 人 逻辑 系统 ,从 用 户 接收 和 发 送 的 消息 出 发 ,通过 
一 系列 推理 公理 来 验证 协议 是 否 满足 其 安全 说 明 。 用 于 安全 协议 形式 化 分 析 的 逻辑 系统 
可 以 分 为 两 类 : 一 类 是 基于 知识 的 , 另 一 类 是 基于 信念 的 。 

模型 检测 (model checking) 是 目前 使 用 非常 频繁 的 安全 协议 形式 化 验证 工具 ,并 且 
使 用 这 种 方法 取得 了 非常 好 的 效果 。 模 型 刻 划 主体 之 间 的 相互 作用 ,描述 消息 怎样 发 送 
和 接收 ,特定 的 主体 能 够 合成 和 传送 哪些 消息 ,以 及 在 特定 时 间 某 个 主体 可 能 的 行为 等 。 
简 而 言 之 ,模型 定义 了 一 切 可 能 发 生 的 事件 。 事 实证 明 ,模型 检查 是 分 析 安 全 协议 的 一 种 
很 成 功 的 方法 ,基本 方式 是 先 建立 运行 协议 的 小 系统 模型 (例如 只 有 一 个 协议 发 起 者 和 一 
个 响应 者 ) ,再 加 上 能 与 协议 交互 的 最 具 一 般 性 的 攻击 者 模型 ,然后 使 用 状态 搜索 工具 来 
检测 系统 是 否 可 能 进入 不 安全 状态 , 即 是 否 存在 对 协议 的 攻击 。 然 而 ,作为 验证 安全 协议 
正确 性 的 方法 ,模型 检查 有 严重 局 限 性 。 由 于 模型 检查 器 是 通过 穷 举 搜索 模型 中 每 个 可 
能 的 状态 ,直到 发 现 一 个 被 入侵 的 特殊 状态 或 者 搜索 完全 部 状态 才 会 停止 。 因 此 ,如 果 没 
有 找到 无 限 状 态 模型 中 这 个 特殊 状态 时 ,这 个 过 程 将 永远 不 会 停止 。 通 常 需要 一 个 协议 
保证 在 有 大 量 参与 者 参与 ,同时 运行 很 多 轮 协议 的 时 候 , 也 是 安全 的 ,但 无 法 使 用 有 限 状 
态 模 型 完全 获取 该 协议 的 安全 性 。 

推理 验证 (inductive proofs) 是 用 于 证 明 安 全 协议 满足 某 种 属性 的 形式 化 方法 。 使 用 
推理 验证 这 种 方法 时 ,系统 实现 和 系统 规范 都 使 用 逻辑 公式 来 描述 HE F WE ZN OT E 
蕴含 公式 S 来 验证 系统 实现 与 系统 规范 之 间 的 一 致 性 。 验 证 的 过 程 是 逻辑 公理 系统 中 的 
推理 证 明 过 程 。 此 方法 的 优点 在 于 功能 强大 ,适用 面 广 ,这 是 因为 大 部 分 问题 都 可 以 通过 
公理 化 转换 为 逻辑 问题 来 解决 。 但 是 这 种 方法 也 有 自身 的 缺陷 ,其 缺陷 在 于 使 用 这 种 方 
法 并 不 能 对 所 有 问题 都 给 出 一 个 确定 的 答案 .这 是 因为 有 些 问 题 是 不 可 判断 的 .所 以 使 用 
推理 验证 时 有 可 能 永远 不 会 停机 ,通常 需要 专家 用 户 的 交互 ,普通 分 析 人 员 很 难 掌握 这 种 
分 析 方 法 。 推 理 验证 常用 的 工具 有 HOL、PVS 和 Isabelle 等 。 


5.1.4.2 入 侵 者 模型 和 典型 攻击 类 型 


在 协议 运行 的 环境 中 ,除了 诚实 的 主体 之 外 ,还 存在 入侵 者 (Cintruder) ,为 了 形式 化 分 
析 安 全 协议 ,对 人 侵 者 进行 正确 建 模 也 是 非常 重要 的 。 目 前 ,主要 有 3 种 不 同人 侵 者 模 
型 : Dolev-Yao 模型 spi 演算 和 概率 模型 。 

Dolev-Yao 模型 是 1983 年 提出 来 的 。 目 前 .大 多 数 形 式 化 方法 都 是 基于 这 种 模型 
的 。Dolev-Yao 模型 包含 以 下 假设 前 提 : 

(1) 协议 采用 的 密码 算法 是 不 可 破解 的 。 

(2) 参加 协议 的 主体 除了 有 合法 主体 外 ,还 有 非法 入 侵 者 。 

(3) 与 合法 主体 一 样 , 入 侵 者 具有 相同 知识 和 能 力 , 如 有 具有 相同 加 密 和 人 解密 密 钥 ,可 
以 得 到 网 络 中 传递 的 任何 消息 ,可 以 修改 和 发 送 他 看 到 的 任何 消息 。 


第 5 章 抗 攻击 的 安全 协议 107 


Dolev-Yao 模型 中 的 入 侵 者 模型 如 图 5-2 所 示 。 


输入 数据 接 n 发 || 更 改 后 的 输出 数据 
收 送 
入 侵 者 数据 taal 


图 5-2 Dolev-Yao 模型 中 的 入 侵 者 模型 


Dolev-Yao 模型 是 一 个 非常 有 用 的 抽象 模型 ,虽然 应 用 的 范围 非常 广泛 ,但 是 它 有 自 
身 的 缺陷 。Dolev-Yao 模型 仅仅 考虑 了 入 侵 者 能 够 组 合 、 重 放 消 息 以 及 使 用 已 知 密 钥 对 
解密 消息 , 它 不 能 够 处 理 入 侵 者 知道 协议 特定 信息 的 情况 ,不 能 处 理 概率 事件 ,例如 入 侵 
者 试图 猜测 密 钥 。 

spi 演算 和 概率 模型 请 参阅 有 关 文献 [351] 。 

根据 Dolev-Yao 模型 ,安全 协议 在 网 络 中 可 能 遭受 到 的 典型 攻击 包括 : 

(1) 消息 重 放 攻 击 : 在 消息 重 放 攻 击 中 ,攻击 者 预先 记录 某 个 协议 先前 运行 中 的 某 
条 消息 ,然后 在 该 协议 新 的 运行 记录 中 重 放 该 消息 。 

C2) 中 间 人 攻击 : 攻击 者 将 协议 的 某 参 与 者 向 他 提出 的 “挑战 ” 交 给 另外 的 参与 者 回 
答 ,利用 该 参与 者 提供 的 “解密 预言 机 ”(random oracle) 服 务 , 产 生 可 以 通过 挑战 者 认可 的 

(3) 平行 会 话 攻击 : 在 攻击 者 的 安排 下 ,一 个 协议 的 两 个 或 更 多 个 运行 并 发 执行 ,使 
得 攻击 者 能 够 从 一 个 运行 中 得 到 另外 某 个 运行 中 的 困难 答案 。 如 果 用 户 Bob 愿意 几乎 
同时 和 A 及 M 对 话 ,那么 平行 会 话 攻击 就 常常 是 可 行 的 。 

(4) 反射 攻击 : 一 个 诚实 的 主体 给 某 个 意 定 的 通信 方 发 送 消息 ,用 来 让 它 完 成 密码 
操作 时 ,M 截获 该 消息 ,修改 底层 通信 协议 处 理 的 地 址 和 身份 信息 :以便 消息 的 产生 者 不 
会 意识 到 反射 回来 的 消息 是 “他 自己 ?产生 的 。 如 果 M 成 功 了 ,那么 消息 产生 者 接受 对 问 
题 的 “回答 ”是 自问 自 答 ,或 者 充当 了 攻击 者 的 预言 机 。 

(5) 拒绝 服务 攻击 : 在 一 个 分 布 式 的 网 络 上 ,M 及 其 同伙 可 以 向 服务 器 提出 多 个 连 
接 或 注册 请 求 , 这 些 请 求 由 需要 服务 器 维护 的 一 些 具有 状态 的 cookies 所 组 成 。 服 务 器 
的 资源 在 维护 同 这 些 无 用 的 cookies 的 连接 的 过 程 中 耗 尽 , 当 合法 的 用 户 提 出 服务 请 求 
时 , 却 会 被 拒绝 。 

(6) 交错 攻击 : 在 交错 攻击 中 , 某 个 协议 的 两 次 或 多 次 运行 在 M 的 特意 安排 下 按 交 
织 的 方式 执行 。 在 这 样 一 种 攻击 下 ,MM 可 以 合成 某 条 消息 并 发 给 某 个 运行 中 的 某 个 主 
体 , 期 望 收 到 该 主体 的 一 个 应 答 ; 而 该 应 答 可 能 对 于 另外 某 个 运行 中 的 另 一 个 主体 是 有 
用 的 ; 在 接 下 来 的 运行 中 ,从 前 面 运 行 中 得 到 的 应 答 可 能 会 促使 后 面 的 主体 对 某 个 问题 
作出 应 答 ,而 这 个 应 答 又 恰好 能 用 于 第 一 个 运行 ,如 此 交错 进行 。 


5.1.4.3 对 密码 协议 形式 化 分 析 的 基本 途径 
对 密码 协议 形式 化 分 析 的 基本 途径 有 4 种 : 
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(1) 使 用 规范 语言 和 验证 工具 建立 协议 模型 和 验证 协议 , 它 不 是 特别 为 密码 协议 分 
析 设 计 的 。 

(2) 开发 专家 系统 ,协议 设计 者 能 够 用 它 来 调查 研究 不 同 的 情况 。 

(3) 用 分 析 知 识 和 信任 的 逻辑 ,建立 协议 簇 的 需求 模型 。 

(4) 开发 形式 化 方法 , 它 基于 密码 系统 的 代数 重 写 项 性 质 。 

关于 这 4 种 途径 的 讨论 ,以 及 围绕 它们 的 研究 超出 了 本 书 的 范围 。 这 里 略微 介绍 这 
个 领域 的 主要 方面 。 

第 一 种 途径 把 密码 学 协议 当 作 任 何其 他 计算 机 程序 ,并 试图 证 明 它 的 正确 性 。 然 而 
证 明正 确 性 与 证 明 安 全 性 不 同 , 并 且 这 个 方法 对 于 发 现 许 多 缺陷 的 协议 来 说 是 行 不 通 的 。 
虽然 这 一 种 途径 最 早 被 广泛 研究 ,但 这 个 领域 的 大 多 数 工 作 已 经 转向 获得 普及 的 第 三 种 
途径 。 

第 二 种 途径 是 使 用 专家 系统 来 确定 协议 是 否 能 达到 不 合乎 需要 的 状态 (例如 密 钥 
的 泄露 ) 。 虽 然 这 种 途径 能 够 更 好 地 识别 缺陷 ,但 它 既 不 能 保证 安全 性 ,又 不 能 为 开发 
攻击 提供 技术 。 它 的 好 处 在 于 决定 协议 是 否 包 含 已 知 的 缺陷 ,但 不 可 能 发 现 未 知 的 
缺陷 。 

第 三 种 途径 是 一 种 形式 逻辑 模型 ,是 由 Michael Burrows, Martin Abadi 和 Roger 
Needham 首先 发 明 , 叫 做 BAN 逻辑 。BAN 逻辑 是 分 析 认 证 协议 时 用 得 最 广泛 的 逻辑 。 
它 假设 认证 是 完整 性 和 新 鲜 度 的 本 数 , 并 使 用 逻辑 规则 来 对 贯穿 协议 的 那些 属性 的 双方 
进行 跟踪 。 虽 然 已 经 提出 了 这 种 途径 的 许多 变化 和 扩展 ,但 大 多 数 协议 设计 者 仍 在 引用 
最 初 的 研究 。 

BAN 逻辑 并 不 提供 安全 性 证 明 , 它 只 能 推出 认证 。 它 具有 容易 使 用 的 简单 .明了 的 
逻辑 ,对 于 发 现 缺 陷 仍然 有 用 。BAN 逻辑 中 的 一 些 命题 有 : 

(1) A 相信 KCA 装 作 好像 X 是 正确 的 )。 

(2) A 看 X( 某 些 人 已 经 把 包含 X 的 消息 发 给 A.A 可 能 在 解密 消息 后 才能 够 读 和 重 
Z X). 

(3) A 说 X( 在 某 一 时 间 ,A 发 送 包 括 命题 X 的 消息 。 不 知道 的 是 ,消息 在 多 早 以 前 
曾 被 发 送 过 ,或 是 在 协议 当前 运行 期 间 发 送 的 。 已 经 知道 , 当 A 说 XX 时 ,A 相信 XX)。 

(4) X 是 新 的 (在 当前 运行 协议 以 前 ,X 在 任何 时 间 没 有 把 消息 发 送出 去 ) 等 。 

BAN 逻辑 也 为 协议 中 有 关 信 任 理由 提供 规则 。 这 些 规则 能 够 用 到 协议 的 逻辑 命题 ， 
用 来 证 明 事 情 或 回答 有 关 协 议 的 问题 。 例 如 ,消息 内 涵 的 规则 是 : 

(1) 如 果 A 相信 A 和 B 共享 密 钥 K.A 看 见 用 K 加 密 的 X, 而 A 没有 用 K 加 密 XX， 
那么 A 相信 B 曾经 说 过 X。 

另 一 个 规则 是 只 以 当时 为 限 的 验证 规则 : 

(2) 如 果 A 相信 X 只 在 最 近 被 发 送 , 并 且 B 曾经 说 过 义 ,那么 A 就 认为 也 相信 X。 

用 BAN 逻辑 进行 分 析 分 4 步 : 

(1) 采用 以 前 描述 的 命题 ,把 协议 转换 为 理想 化 形式 。 

C2) 加 上 有 关 协 议 初始 状态 的 所 有 假设 。 

(3) 把 逻辑 公式 放 到 命题 中 : 在 每 个 命题 后 断言 系统 的 状态 。 
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(4) 为 了 发 现 协 议 各 方 持 有 的 信任 ,运用 逻辑 基本 原理 去 断言 和 假设 。 

BAN 逻辑 的 作者 "把 理想 化 的 协议 看 作 比 在 文献 中 发 现 传统 的 描述 更 清楚 和 更 完善 
的 规范 …”。 其 他 协议 没有 这 种 印记 ,并 因为 它 不 可 能 正确 反映 实际 协议 而 批评 这 个 步 
了 又。 其 他 批评 试图 表明 ,BAN 逻辑 可 能 推导 出 关于 协议 明显 错误 的 特征 ,并 且 BAN 2 
辑 只 涉及 信任 ,而 与 安全 性 无 关 。 

尽管 有 这 些 批评 ,BAN 逻辑 仍 是 成 功 的 。 它 已 经 在 几 种 协议 中 发 现 缺 陷 , 这 些 协议 
包括 Needham-Schroeder 和 一 个 早期 CCITTX. 509 协议 草案 。 它 已 经 发 现 很 多 协议 中 
的 完 余 ,这 些 协议 包括 Yahalom, Need-ham-Schroeder 和 Kerberos。 许 多 人 的 文章 使 用 
BAN 逻辑 ,声称 他 们 协议 的 安全 性 。 

其 他 逻辑 系统 也 有 公布 ,一些 设计 成 为 BAN 逻辑 的 扩展 , 另 一 些 是 基于 BAN 逻辑 
去 改进 发 现 的 弱点 。 

密码 协议 分 析 的 第 四 种 途径 是 把 协议 当 作 一 个 代数 系统 模型 ,表示 有 关 协 议 参 与 者 
了 解 的 状态 ,然后 分 析 某 种 状态 的 可 达 性 。 这 种 途径 没有 像 形式 逻辑 那样 引起 更 多 的 注 
意 , 但 情况 正在 改变 。 它 首先 由 Michael Merritt 使 用 ,他 证 明代 数 模型 可 用 来 分 析 密 码 
协议 。 

美国 海军 研究 试验 室 (Navy Research Lab,NRL) 的 协议 分 析 器 可 能 是 这 些 技术 中 最 
成 功 的 应 用 ,用 来 在 各 种 协议 中 寻找 新 的 和 已 知 的 缺陷 。 这 台 协 议 分 析 器 定义 了 下 面 的 
行为 : 

A) 接收 (B,A,M.N)(B 在 NN 地 附近 ,接收 消息 M 作为 来 自 A 的 消息 )。 

(2) 获悉 (EE,M)(E 获悉 M). 

G) 发 送 (A,B,Q,MD) (根据 查询 Q.A 发 送 M 给 B). 

(4) 请 求 (B,A,Q,N)(B 在 NN 地 附近 ,发 送 Q 给 A)。 

从 这 些 行为 中 ,可 以 确定 需求 ,例如 : 

(1) WER BB 在 过 去 某 些 点 接收 到 从 A 来 的 消息 M, ABA E 在 过 去 某 些 点 没有 获 
Æ M. 
(2) 如 果 B 在 他 的 N 地 附近 接收 到 从 A 来 的 消息 M,A 给 B 发 送 M 作 为 B 在 N 地 
附近 查询 的 响应 。 

为 了 使 用 NRL 协议 分 析 器 ,必须 按 以 前 的 结构 规定 协议 。 分 析 有 4 个 步骤 ; 为 诚实 
的 参与 者 定义 传送 ; 描述 对 所 有 诚实 和 不 诚实 参与 者 可 得 到 的 操作 ; 描述 基本 协议 构造 
部 件 ; 描述 还 原 规 则 。 

这 里 表述 的 所 有 要 点 是 已 知 的 协议 要 与 它 的 需求 相符 ,采用 像 NRL 协议 分 析 器 这 
样 的 工具 ,最 终 会 产生 一 个 能 够 证 明 是 安全 的 协议 。 
5.1.5 安全 协议 的 设计 原则 

安全 协议 的 设计 极 易 出 错 , 即 使 只 讨论 安全 协议 中 最 基本 的 认证 协议 ,其 中 参加 协议 
的 主体 只 有 两 三 个 ,交换 的 消息 只 有 3 一 5 条 ,设计 一 个 正确 的 、 符 合 认证 目标 的 .没有 元 
余 的 认证 协议 也 十 分 困难 。 因 此 ,多 年 以 来 .为 了 应 对 这 一 挑战 :人 们 设计 了 不 同 种 类 的 
形式 化 分 析 方 法 ,投入 了 大 量 的 精力 ,取得 了 可 喜 的 成 果 。 
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安全 协议 设计 与 分 析 的 困难 性 在 于 : 

(1) 安全 目标 本 身 的 微妙 性 。 例 如 ,表面 上 十 分 简单 的 “认证 目标 ”, 实 际 上 十 分 

(2) 协议 运行 环境 的 复杂 性 。 实 际 上 , 当 安 全 协议 运行 在 一 个 十 分 复杂 的 公开 环境 
时 ,攻击 者 处 处 存在 。 我 们 必须 形式 化 地 刻 划 安全 协议 的 运行 环境 ,这 是 一 项 艰巨 的 
任务 。 

(3) 攻击 者 模型 的 复杂 性 。 我 们 必须 形式 化 地 描述 攻击 者 的 能 力 , 对 攻击 者 和 攻击 
行为 进行 分 类 和 形式 化 分 析 。 

(A) 安全 协议 本 身 具有 “高 并 发 性 ”特点 。 因 此 ,安全 协议 的 分 析 变 得 更 加 复杂 并 具 
有 挑战 性 。 

针对 不 同 的 安全 协议 ,许多 研究 者 提出 了 一 些 具体 的 安全 协议 设计 原则 。 例 如 ， 
Anderson 和 Needham 提出 的 设计 公 钥 安全 协议 原则 ,能 够 有 效 指导 公 钥 安全 协议 的 
设计 。 

原则 1 签名 先 于 加 密 。 如 果 不 这 样 做 ,而 是 对 于 一 个 加 密 数 据 进行 签名 ,那么 不 能 
认为 签名 者 知道 数据 明文 。 第 三 方 也 就 不 能 认为 这 个 签名 是 有 效 的 。 

原则 2 注意 各 个 实体 是 如 何 区 分 的 。 如 果 可 能 ,尽量 避免 对 不 同 目的 (例如 签名 和 
加 密 ) 使 用 相同 密 钥 ; 另外 要 确定 能 够 区 分 同一 个 协议 的 不 同 协议 轮 。 

原则 3 当 签 名 和 加 密 数 据 的 时 候 , 要 注意 自己 不 要 被 对 方 当 作 先 知 (Oracle) ,使 得 
能 够 发 起 Oracle 攻击 。 

原则 4 说 明 协 议 中 所 有 数据 。 例 如 ,哪些 数据 是 防止 协议 模棱两可 的 ,哪些 数据 是 
提供 宛 余 的 ,哪些 数据 是 使 得 计算 机 具有 复杂 性 的 等 。 确 信 协 议 需要 的 宛 余 性 的 基础 在 
应 用 中 是 鲁 棒 的 ,确信 任何 附加 的 数据 不 能 以 任何 方式 来 攻击 协议 。 

原则 5 不 要 假设 任何 其 他 人 的 秘密 (除了 一 个 CA 的 秘密 ) 是 保密 的 。 

原则 6 不 要 假设 收 到 的 消息 一 定 来 自 于 某 个 特定 的 主体 ,除非 能 以 某 种 方法 检测 
这 一 点 。 

又 如 ,Martin Abadi 和 Roger Needham 提出 设计 协议 的 11 条 原则 ,能 够 指导 安全 协 
议 的 设计 ,尽量 减少 安全 协议 设计 的 漏洞 。 虽 然 .这些 原 则 对 于 安全 协议 设计 的 安全 性 不 
是 完备 和 充分 的 ,但 是 它们 是 非常 有 用 的 .能够 指导 协议 的 设计 者 简化 协议 的 设计 ,并 且 
能 够 防范 已 知 的 一 些 协议 漏洞 。 

Martin. Abadi 和 Roger Needham 对 安全 协议 设计 的 原则 进行 了 总 结 , 遵 守 这 些 原 
则 有 助 于 简化 协议 和 避免 一 些 早已 公开 的 协议 错误 。 

两 个 基本 设计 原则 如 下 : 

a) 一 个 消息 所 要 传达 的 内 容 的 所 有 要 素 必 须 明 确 地 表达 在 该 消息 中 ,接收 者 无 需 
从 上 下 文 推 得 某 些 信息 即 可 恢复 该 消息 的 全 部 意义 ,否则 该 消息 可 能 会 被 替代 用 来 进行 


欺骗 。 
(2) 一 个 消息 可 被 处 理 的 条 件 必 须 明 确 地 列 出 :以 便 其 他 回顾 该 协议 设计 的 人 判断 
这 些 条 件 能 和 否 接收 。 


对 上 述 原 则 进行 分 析 和 扩展 ,可 以 得 到 以 下 几 个 具体 设计 要 点 : 
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(1) 若 主体 身份 对 消息 的 意义 是 不 可 缺少 的 , 则 在 该 消息 中 明确 包含 主体 的 身份 可 
以 防止 某 些 攻击 。 

(2) 使 用 一 次 性 随机 数 (nonce) 或 挑战 (challellge) ,而 不 是 时 间 惟 (time stamp). 

在 协议 设计 中 ,时 间 惟 和 nonce 被 用 于 保证 消息 的 新 鲜 性 ,以 防止 消息 重 放 。 但 两 者 
之 间 有 很 重要 的 区 别 : 使 用 时 间 惟 时 一 般 要 求 各 主体 的 时 钟 同 步 , 但 时 间 惟 并 不 和 某 个 
主体 直接 关联 ,任何 一 个 主体 产生 的 时 间 戳 都 能 被 其 他 主体 用 来 检验 消息 的 新 鲜 性 。 
nonce 则 是 某 个 主体 产生 的 随机 数 , 一 个 主体 只 能 根据 它 自己 所 产生 的 nonce 来 检验 消 
息 的 新 鲜 性 。 此 外 ,时 间 惟 不 具有 唯一 性 , 它 通常 有 一 个 有 效 范 围 ,只 要 它 位 于 这 个 有 效 
范围 内 ,主体 都 接受 它 的 新 鲜 性 。nonce 则 具有 唯一 性 ,任何 一 个 主体 在 两 次 会 话 中 产生 
的 临时 值 在 很 长 一 段 时 间 内 不 可 能 相同 。 

挑战 通常 是 不 可 预测 的 且 未 使 用 过 的 随机 数 ,而 响应 则 是 其 函数 ,采用 挑战 的 目的 为 
防止 重 放 攻 击 ; 然而 ,随机 数 只 能 保证 及 时 性 ,不 能 防止 利用 两 个 并 行 协议 构造 的 攻击 。 
因此 ,挑战 必须 包含 完整 的 信息 ,如 预期 中 挑战 的 响应 者 名 字 ,挑战 的 发 起 者 发 起 该 挑战 
的 目的 ,这 些 可 用 加 密 拥 绑 在 一 起 。 

(3) 最 少 的 初始 化 假设 。 在 进行 协议 设计 前 ,通常 需要 对 网 络 环境 作出 分 析 , 提 出 合 
适 的 初始 化 假设 。 

例如 ,CA 是 可 信赖 或 信道 是 可 信赖 的 .或 者 各 实体 都 拥有 自己 的 证 书 , 等 等 。 但 是 ， 
初始 化 假设 并 非 越 多 越 好 ,因为 有 些 假设 可 能 本 身 存在 不 确定 因素 ,或 者 根本 经 不 起 严格 
推理 ,所 以 应 尽 可 能 减少 初始 化 假设 数目 。 

(4) 消息 应 具有 明确 的 意义 , 且 必 须 明 确 对 消息 进行 加 密 的 目的 。 

协议 中 每 一 条 消息 都 有 其 意义 和 作用 ,对 消息 的 解释 应 该 依赖 于 消息 本 身 。 即 使 有 
一 种 合适 的 形式 化 语言 可 以 描述 某 条 消息 ,也 应 该 可 以 用 一 句 话 来 描述 其 内 容 , 即 可 以 将 
消息 由 符号 转换 为 更 易 理 解 的 语句 。 

在 安全 协议 设计 中 ,加 密 可 以 用 来 保证 消息 的 机 密 性 、 指 示 消 息 的 来 源 、 捆 绑 消 息 
的 各 个 部 分 ,以 及 产生 随机 数 等 。 因 此 ,明确 加 密 所 起 的 作用 对 于 理解 具体 的 协议 很 
重要 。 

在 安全 协议 的 分 析 与 设计 中 ,以 上 这 些 原 则 能 够 帮助 协议 分 析 者 发 现 协议 的 漏洞 ,从 
而 提出 改进 方法 ; 协议 设计 者 可 以 遵循 这 些 原则 来 设计 协议 ,避免 一 些 已 发 现 的 协议 
错误 。 


5.2 抗 攻 击 的 密 钥 交换 协议 


5.2.1 中 间 人 攻击 


在 密 钥 交换 协议 中 ,A 和 B 由 于 需要 进行 秘密 信息 的 交互 ,需要 交换 密 钥 , 此 时 , 穷 
听 者 下 除了 试图 破译 公开 密 钥 算法 或 者 尝试 对 密 文 作 唯 密 文 攻击 之 外 ,没有 更 好 的 办 
法 。 但 是 ,对 于 恶意 的 主动 攻击 者 M 来 说 , 比 下 更 有 能 力 ,他 不 仅 能 监听 A 和 B 之 间 的 
信息 、 还 能 修改 信息 、 删 除 信 息 、 并 能 产生 全 新 的 信息 。 当 M 同 A 谈话 时 ,他 能 模仿 B, 他 
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也 能 模仿 A 同 B 谈 话 。 

下 面 介 绍 这 种 中 间 人 攻击 是 怎样 生效 的 : 

(1) A 将 她 的 公开 密 钥 传送 给 B。M 截取 这 个 密 钥 ,并 将 自己 的 公开 密 钥 传送 给 B。 

(2) BB 将 他 的 公开 密 钥 传送 给 A。M 截取 这 个 密 钥 ,并 将 自己 的 公开 密 钥 传送 给 A。 

G) 当 A 将 用 “B” 的 公开 密 钥 加 密 的 信息 传送 给 B 时 ,M 截取 它 。 由 于 信息 实际 上 
是 用 M 的 公开 密 钥 加 密 的 ,他 就 用 自己 的 私 钥 解密 ,再 用 也 的 公开 密 钥 对 信息 重新 加 密 ， 
并 将 它 传送 给 B。 

(4) 当 B 将 用 “A” 的 公开 密 钥 加 密 的 信息 传送 给 A 时 ,M 截取 它 。 由 于 信息 实际 上 
是 用 M 的 公开 密 钥 加 密 的 ,他 就 用 自己 的 私 钥 解密 ,再 用 A 的 公开 密 钥 对 信息 重新 加 

即使 A 和 B 的 公开 密 钥 存储 在 数据 库 中 ,这 种 攻击 也 是 可 行 的 。M 可 以 截取 A 的 
数据 库 查 询 , 并 用 自己 的 公开 密 钥 代替 B 的 公开 密 钥 ,对 B 也 可 以 做 同样 的 事情 ,用 自己 
的 公开 密 钥 代 蔡 A 的 公开 密 钥 。 他 也 能 秘密 地 侵入 数据 库 , 用 自己 的 密 钥 代 蔡 A 和 也 的 
密 钥 。 接 下 来 就 简单 地 等 着 A 和 B 互相 谈话 ,然后 截取 和 修改 信息 ,他 就 成 功 了 1! 

“中 间 人 攻击 ?是 可 行 的 ,因为 A 和 B 无 法 验证 他 们 正在 作 的 互相 交谈 。 只 要 M 没 
有 导致 任何 值得 注意 的 网 络 延 迟 ,他 们 两 人 就 没有 办 法 知道 有 人 正在 他 们 中 间 阅 读 他 们 
自 认 为 是 秘密 的 消息 。 


5.2.2 阻止 中 间 人 攻击 的 联 锁 协 议 


由 Ron Rivest 和 Adi Shamir 发 明 的 联 锁 协 议 是 阻止 "中间人 攻击 ”的 一 种 办 法 。 下 
面 是 这 个 协议 的 工作 过 程 : 

(1) A 将 她 的 公开 密 钥 传送 给 B。 

(2) B 将 他 的 公开 密 钥 传送 给 A。 

G) A 用 B 的 公开 密 钥 加 密 她 的 报 文 , 并 将 加 密 报 文 的 一 半 传 送 给 B。 

(4) BH A 的 公开 密 钥 加 密 他 的 报 文 , 并 将 加 密 报 文 的 一 半 传 送 给 A。 

(5) A 将 加 密 的 另 一 半 报 文 传送 给 B。 

(6) BAS A 的 两 半 报 文 合 在 一 起 ,并 用 他 的 私 钥 解密 ; B 将 他 加 密 的 另 一 半 报 文 传 
送 给 A。 

(7) A 将 B 两 半 报 文 合 在 一 起 ,并 用 她 的 私 钥 解 密 。 

该 协议 过 程 如 图 5-3 所 示 。 

这 里 要 注意 的 是 : 只 有 报 文 的 一 半 , 没 有 另 一 半 , 报 文 是 毫 无 用 处 的 。B 只 有 到 步 
又 (6) 才 能 读 A 的 报 文 ,A 只 有 到 步骤 (7) 才 能 读 B 的 报 文 。 有 很 多 办 法 实现 它 : 

(1) 如 果 采 用 分 组 加 密 算法 ,每 一 分 组 的 一 半 ( 例 如 每 隔 一 比特 ) 能 在 每 半 个 报 文中 

C2) 报 文 的 解密 依赖 于 初始 矢量 ,初始 矢量 可 以 在 报 文 的 另 一 半 中 发 送 。 

(3) 首先 发 送 的 一 半 报 文 可 能 是 加 密 报 文 的 单 向 Hash 算法 (参看 3. 2. 3 节 ) ,并且 加 
密 报 文本 身 可 能 是 另 一 半 。 

为 了 了 解 这 样 做 是 怎样 对 M 制造 麻烦 的 ,让 我 们 再 看 看 他 破坏 协议 的 过 程 。M 能 够 在 
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攻击 
A í 者 5 
把 自己 的 公 钥 发 给 B 把 自己 的 公 钥 发 给 A 
Kap 
用 B 发 来 的 公 钥 加 密 报 文 |_ | Kop 。| 用 A 发 来 的 公 钥 加 密 报 文 
Kbp Kap 
| | 
加 密 后 的 密 文 加 密 后 的 密 文 
Cakbp Cekap 
| 。| 用 私 钥 解 密 密 文 Cakbp 
Kopri 
用 私 钥 解 密 密 文 Ceka |_ | 
Kapri 
不 安全 的 密 文 传输 通道 


Cakprp&Cekap 


图 5-3 联 锁 协 议 


步骤 (1) 和 步骤 (2) 中 用 自己 的 公开 密 钥 代替 A 和 B 公开 密 钥 。 但 现在 , 当 他 在 步骤 (3) 截 
取 A 的 一 半 报 文 时 ,他 不 能 用 自己 的 私 钥 对 报 文 解密 ,然后 用 B 的 公开 密 钥 再 加 密 , 他 不 
得 不 虚构 一 个 完全 不 同 的 新 报 文 ,并 将 它 的 一 半 发 送 给 B。 当 他 在 步骤 (4) 截 取 BB 给 A 
的 一 半 报 文 时 ,他 有 同样 的 问题 ,他 不 能 用 自己 的 私 钥 解密 ,并 用 A 的 公开 密 钥 再 加 密 ， 
他 又 不 得 不 虚构 一 个 完全 不 同 的 新 报 文 ,并 将 它 的 一 半 发 送 给 A。 当 他 在 步骤 (5) 和 步骤 
(6) 和 截取 到 实际 报 文 的 另 一 半 时 ,他 再 去 把 自己 虚构 的 新 报 文 改 回来 ,就 太 迟 了 。A 和 也 
之 间 的 会 话 必定 是 完全 不 同 的 。 

M 也 可 以 不 用 这 种 办 法 。 如 果 他 非常 了 解 A 和 B, 他 就 可 以 模仿 他 们 之 中 的 一 个 人 
同 另 一 人 通话 ,他 们 绝 不 会 想到 正 受到 欺骗 。 但 这 样 做 肯定 比 坐 在 他 们 之 间 截 取 和 读 他 
们 的 报 文 更 难 。 


5.2.3 使 用 数字 签名 的 密 钥 交 换 协 议 


在 会 话 密 钥 交 换 协 议 期 间 , 采 用 数字 签名 也 能 防止 “中 间 人 攻击 ”。 比 如 , 工 对 A 和 也 
的 公开 密 钥 签名 ,签名 的 密 钥 包括 一 个 已 签名 的 所 有 权证 书 。 当 A 和 B 收 到 密 钥 时 ,每 
人 都 能 验证 工 的 签名 。 这 样 ,他 们 就 知道 公开 密 钥 是 哪个 人 的 。 密 钥 的 交换 就 能 完 
了 。 协 议 过 程 如 图 5-4 所 示 。 

M 会 遇 到 严重 的 阻力 。 他 不 能 假冒 BB 或 者 A,. 因 为 他 不 知道 他 们 的 私 钥 。 他 也 不 能 
用 自己 的 公开 密 钥 代替 A 和 B 两 人 的 公开 密 钥 ,因为 他 由 本 签名 的 证 书 ,是 为 M 自己 签 
发 的 。 他 所 能 做 的 事情 就 是 窃听 往来 的 加 密 报 文 , 或 者 破坏 通信 线路 ,阻止 A 和 B 谈话 。 

这 个 协议 也 动用 全 ,但 KDC 遭受 损害 的 风险 比较 小 。 假 设 M 危及 到 工 的 安全 (例如 
侵入 KDO) ,他 所 得 到 的 只 是 工 的 私 钥 。 这 个 密 钥 使 他 仅 能 对 新 的 密 钥 签名 ; 不 会 使 M 
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对 A 和 B 的 公 钥 
进行 签名 
Krep Kap Kp Krap 
将 公 钥 发 送 给 T， 将 公 钥 发 送 给 T， 
A| 并 接收 经 T 认 证 的 并 接收 经 T 认 证 的 
B 的 公 钥 A 的 公 钥 
Krep | Kn 
验证 IT 的 签名 得 到 验证 T 的 签名 得 到 
B 的 公 钥 攻击 者 A 的 公 钥 
Kep M Kap 
加 密 报 文 并 加 密 报 文 并 
与 B 进 行 通信 与 A 进行 通信 
E 不 安全 的 密 Sa 
Ciphertext C 


图 5-4 数字 签名 的 密 钥 交 换 


能 够 对 任何 会 话 密 钥 解密 ,或 者 读 取 任 何 报 文 。 为 了 能 够 读 往 来 的 报 文 ,M 不 得 不 冒充 
网 络 上 的 某 个 用 户 ,并 且 欺 骗 合法 用 户 用 他 的 假 的 公开 密 钥 加密 报 文 。 

M 可 以 采用 下 述 方法 发 起 这 种 攻击 : 持 有 工 的 私 钥 , 他 能 够 产生 假 的 签名 密 钥 去 
欺骗 A 和 B。 然 后 M 就 可 以 在 数据 库 中 交换 他 们 真正 的 签名 密 钥 ,或 者 截取 用 户 向 数 
据 库 的 请 求 , 并 用 他 的 假 密 钥 代替 。 这 使 他 能 够 实施 "中间人 攻击 ”, 并 读 取 他 人 的 
通信 。 

这 种 攻击 是 可 行 的 ,但 条 件 是 M 必须 能 够 截取 和 修改 信息 。 在 一 些 网 络 中 ,截取 和 
修改 报 文 比 被 动 地 坐 在 网 络 旁 读 取 往 来 的 报 文 更 难 。 在 广播 信道 上 ,如 无 线 网 中 ,几乎 不 
可 能 用 其 他 报 文 来 替代 某 个 报 文 ( 否 则 整个 网 络 可 能 被 堵塞 )。 在 网 络 中 做 这 种 事 要 容易 
些 ,并 且 随 着 时 间 的 推移 变 得 越 来 越 容易 ,例如 IP 欺骗 .路 由 攻击 等 。 


5.2.4 密 钥 和 报 文 传输 协议 


在 下 面 的 协议 中 ,A 在 没有 任何 密 钥 交换 协议 的 情况 下 ,将 报 文 M 传送 给 B: 

(1) A 产 生 一 个 随机 会 话 密 钥 K ,并 用 K 加密 M: Ex (M)。 

(2) A 从 数据 库 中 得 到 B 的 公开 密 钥 。 

(3) A 用 B 的 公开 密 钥 加 密 K: Es(K). 

(4) A 将 加 密 的 报 文 和 加 密 的 会 话 密 钥 传送 给 B: Ek (M). Es (K) >B. X T 4i 
全 性 ,防止 “中 间 人 攻击 ”,A 可 对 传输 签名 。 

(5) B 用 自己 的 私 钥 将 A 的 会 话 密 钥 K 解密 。 

(6) B 用 会 话 密 钥 K 将 A 的 报 文 解密 。 


第 5 章 抗 攻击 的 安全 协议 115 


该 协议 过 程 如 图 5-5 所 示 。 


公 铀 
数据 库 
A B 
产生 一 个 随机 密 钥 攻击 者 私 钥 解 密 出 
随机 密 钥 
K| Es(K)K spri 
Kop k| 用 随机 密 - K 
钥 加 密 报 | 一 
Į 
XEK(M) 用 解密 出 的 随机 
一 密 钥 解 密 密 文 
Ex(M)K 
用 B 的 公 f _ E0 
L | | 钥 加 密 随 4 -| 
机 密 钥 = 
Es(K) 不 安全 的 密 文 saree 
传送 通道 


图 5-5 密 钥 和 报 文 传输 


这 个 混合 系统 表示 ,公开 密 钥 密码 是 怎样 经 常用 于 通信 系统 的 。 它 可 以 和 数字 签名 、 
时 间 标 记 以 及 任何 其 他 安全 协议 组 合 在 一 起 使 用 。 


5.2.5 网 络 存储 应 用 中 的 密 钥 和 报 文 广播 协议 


对 于 A 把 加 密 的 报 文 传送 给 另外 几 个 人 的 情况 ,是 在 下 面 这 个 例子 中 ,A 把 加 密 报 
文 传送 给 B.C 和 DD。 

d) A 产生 一 个 随机 会 话 密 钥 KK. 并 用 K 加密 报 文 M: Ex (MD) 。 

(2) A 从 数据 库 中 得 到 B.C 和 D 的 公开 密 钥 : Es, Ec, Eno 

(3) A FA B 的 公开 密 钥 Es MÈ K, 用 C 的 公开 密 钥 Ec 加 密 K, 用 DD 的 公开 密 钥 En 
加 密 K: Es(K)、Ec(K)、Ep(K)。 

CA) A 广播 加 密 的 报 文 和 所 有 加 密 的 密 钥 , 并 传送 给 要 接收 的 人 : Es CK) Ec (RK). 
Ep (K) .Ex(M). 

这 个 例子 中 ,只 有 BC 和 D 可 以 分 别 用 他 们 的 私 钥 解 密 K; 只 有 BC 和 DD 可 以 分 别 
用 解密 出 的 K 再 解密 A 的 报 文 。 

上 述 过 程 如 图 5-6 所 示 。 

这 个 协议 可 以 在 存储 转发 网 络 上 实现 。 中 央 服 务 器 将 A 的 报 文 ,连同 加 密 后 的 密 钥 
一 起 转发 给 BC 和 D。 服 务 器 不 一 定 需 要 是 安全 的 或 者 可 信 的 ,因为 它 不 可 能 对 任何 报 
文 解密 。 
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公 钥 数 据 库 
A 
B 用 私 钥 解 | | 用 随机 全 
密 出 关机 Lac een | -| 报 广 
rarer a8 HX M 
7 产生 一 个 随机 密 钥 Fo ETK 
Ec K 
= | C 用 mag 用 随机 密 
密 出 随机 |K ga x 
xc] | La rE oe PS ee a ee 
Ex(M) 加 密 密 钥 Ec(K)Kcpri Ex(M)K 
i 密 文 传送 的 D 用 私 钥 解 | [用 随机 密 
分 别 用 B、C、D 的 不 安全 通道 密 出 随机 |K | 钥 解密 出 || 报 文 
一 公 钥 加 密 随机 密 角 密 钥 RX M 
Ep(K)、 Ec(K), Ep(K) Ep(K)Kppri Ex(M)K 


图 5-6 密 钥 和 报 文 广播 


5.3 抗 攻击 的 认证 协议 


5.3.1 对 于 认证 协议 的 攻击 举例 


在 讨论 抗 攻击 的 认证 协议 之 前 ,首先 了 解 一 下 ,目前 有 哪些 攻击 类 型 是 针对 认证 协议 
而 发 起 的 。 


5.3.1.1 采用 对 称 密 码 和 T 的 认证 协议 


这 个 协议 由 Roger Needham 和 Michael Schroeder 发 明 ,也 称 为 Needham-Schroeder 
协议 。 
(1) A 将 由 自己 的 名 字 ,B 的 名 字 和 随机 数 Rs 组 成 的 报 文 传 给 工 。 
(A,B,R,a) > T 
(2) 工 产 生 一 个 随机 会 话 密 钥 多。 他 用 与 B 共享 的 秘密 密 钥 对 随机 会 话 密 钥 K 和 A 
名 字 组 成 的 报 文 加 密 。 然 后 用 他 和 A 共享 的 秘密 密 钥 对 A 的 随机 值 \B 的 名 字 、 会 话 密 
钥 K 和 已 加 密 的 报 文 进行 加 密 , 最 后 ,将 加 密 的 报 文 传送 给 A。 
Ea (Ra .B.K,.Eg(K,A))— A 
(3)A 将 报 文 解密 并 提取 K。 她 确认 Rs 与 她 在 步骤 (1) 中 发 送 给 工 的 一 样 。 然 后 她 
将 工 用 了 的 密 钥 加 密 的 报 文 发 送 给 B。 
Es(K, A) >B 
(4) B 对 报 文 解密 并 提取 开 , 然 后 产生 另 一 个 随机 数 Re。 他 用 K 加 密 它 并 将 它 发 送 
给 A。 
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Ex (Rs) > A 
(5) A 用 KK 将 报 文 解密 ,产生 Rs 一 1 并 用 K 对 它 加 密 , 然 后 将 报 文 发 回 给 Bo 
Exr(Rs—1)—B 

(6) BHK 对 信息 解密 ,并 验证 它 是 Re 一 1。 

上 述 这 些 围绕 Ra、Rs、Rs 一 1 的 信息 用 来 防止 重 放 攻 击 。 

在 重 放 攻击 中 ,M 记录 旧 的 报 文 ,在 以 后 再 使 用 它们 以 达到 破坏 协议 的 目的 。 本 协 
议 中 在 步骤 (2) 中 Ra 的 出 现 使 A 确认 T 工 的 报 文 是 合法 的 ,并 且 不 是 以 前 协议 的 重 放 。 
在 步骤 (5), 当 A 成 功 地 解密 Ra ,并 将 Rs 一 1 送 回 给 B 之 后 ,B 确认 A 的 报 文 不 是 早期 协 
议 执 行 的 重 放 。 

这 个 协议 的 主要 安全 漏洞 是 旧 的 会 话 密 钥 仍 有 价值 。 如 果 M 可 以 存 取 旧 的 密 钥 K, 
他 就 可 以 成 功 地 实施 一 次 攻击 。 他 所 做 的 工作 是 ,记录 A 在 步骤 (3) 发 送 给 也 的 报 文 。 
然后 ,一 旦 他 有 ,他 就 可 以 假装 是 A: 

Ad) M 发 送 给 B 下面 的 信息 。 

Es(K,A)—B 

(2) B 提取 KK, 产生 Rs ,并 发 送 给 A。 

Ex (Rg) > A 

G) M 截取 此 报 文 ,用 K 对 它 解 密 , 并 发 送 给 B。 

Exr(Rs—1)—B 

(4) B 验证 A 的 报 文 是 Re 一 1。 

到 此 为 止 ,M 成 功 地 使 B 确认 他 就 是 A 了 。 

使 用 时 间 标 记 的 一 种 更 强 的 协议 能 够 击败 这 种 攻击 。 在 步骤 (2) 中 ,一 个 时 间 标 记 被 
附 到 用 B 的 密 钥 加 密 的 工 的 信息 中 : Es(K.A,T)。 时 间 标 记 需 要 一 个 安全 的 和 精确 的 
系统 时 钟 ,这 对 系统 本 身 来 说 是 另 一 个 难题 。 

如 果 工 与 A 共享 的 密 钥 Ks 泄露 了 .后 果 是 非常 严重 的 。M 能 够 用 它 获 得 同 B 交谈 
的 会 话 密 钥 (或 他 想 要 交谈 的 其 他 任何 人 的 会 话 密 钥 ) 。 甚 至 ,在 A 更 换 她 的 密 钥 后 M 
还 能 够 继续 做 这 种 事情 。 


5.3.1.2 Otway-Rees 协议 及 其 "类 型 缺陷 "型 攻击 


Otway-Rees 协议 使 用 对 称 密码 。 主 要 过 程 如 下 : 

(1) A 产生 一 个 报 文 ,此 报 文 包括 一 个 索引 号 1、 她 的 名 字 ALB 的 名 字 和 一 个 随机 数 
Ra ,用 她 和 工 共享 的 密 钥 Es 对 此 报 文 加 密 , 她 将 索引 号 、 她 的 名 字 和 B 的 名 字 与 她 加 密 
的 报 文 一 起 发 送 给 B。 

I,A,B,Ea(Ra,I,A,B)—B 

(2) B 产生 一 个 报 文 ,此 报 文 包括 一 新 的 随机 数 Re、 索引 号 I、A 的 名 字 和 B 的 名 字 。 
用 他 与 工 共 享 的 密 钥 Es 对 此 报 文 加 密 。 他 将 A 的 加 密 报 文 .索引 号 、A 的 名 字 、B 的 名 
字 与 他 加 密 的 报 文 一 起 发 送 给 T. 

1,A,B,E,(Ra-1I:A,B),.Eg(Rg-1,A,B) > T 
(3) 工 产生 一 个 随机 会 话 密 钥 KS PEA PR. A A OA 共享 的 密 钥 
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对 A 的 随机 数 和 会 话 密 钥 加 密 . 另 一 个 是 用 与 B 共享 的 密 钥 对 B 的 随机 数 和 会 话 密 钥 加 
密 。 他 将 这 两 个 报 文 与 索引 号 一 起 发 送 给 B。 
I,Ea(Ra,K),Es(Rs,K)—B 
(4) BHH A 的 密 钥 加 密 的 报 文 连同 索引 号 一 起 发 送 给 A。 
I,EACRA,K) > A 

(5) A 解密 报 文 , 恢 复出 她 的 密 钥 和 随机 数 , 然 后 她 确认 协议 中 的 索引 号 和 随机 数 都 
没有 改变 。 

假设 所 有 随机 数 都 匹配 ,并 且 按 照 这 种 方法 索引 号 没有 改变 ,A 和 B 现在 相互 确认 
对 方 的 身份 ,他 们 就 建立 了 一 个 密 钥 可 以 用 于 通信 了 。 

“类 型 缺陷 (type flaw)” 型 攻击 的 特点 是 利用 认证 协议 实现 时 的 固定 格式 对 协议 进行 
攻击 。 假 定 在 上 述 认 证 协议 中 ,M 的 长 度 是 64 比特 ,A 和 B 的 长 度 各 为 32 比特 ,Ku 的 
长 度 为 128 比特 。 用 户 A 在 发 起 协议 之 后 ,预期 在 协议 的 步骤 (4) 可 以 收回 他 在 协议 步 
又 (1) 建 立 的 临时 值 N, ,以 及 认证 服务 器 S 为 他 分 配 的 会 话 密 钥 K,,。 这 时 ,攻击 者 P 了 可 
以 冒充 B, 重 放 消 息 (1) 中 的 加 密 分 量 ,将 它 作 为 消息 (4) 中 的 加 密 分 量 发 送 给 A。 攻 击 过 
程 如 下 : 

(1) A 一 P(B) :M,A,B,{N.,M,A,B}Kas 

(4) P(B)~A:M.{N,.M,A.B} Kas 

收 到 消息 (4) 之 后 ,A 解密 {N,,M,A,B)Kas, 校 验 N, 的 正确 性 ,如 果 无 误 则 根据 协 
议 接收 (M,A,B) 为 新 的 会 话 密 钥 。 但 是 ,(M,A,B) 是 攻击 者 P 可 以 掌握 的 公开 消息 。 
因此 ,攻击 者 成 功 地 进行 了 攻击 ,今后 可 以 通过 会 话 密 钥 (M.A,B) 监 听 A 和 B 之 间 的 
会 话 。 

类 似 地 ,攻击 者 可 以 冒充 认证 服务 器 S 攻击 Otway-Rees 协议 。 这 时 ,P 只 需 将 消息 
(2) 中 的 加 密 分 量 重 放 给 B 即 可 。 攻 击 过 程 如 下 : 

(1) A—>B:M,A,B,{N,,M,A,B}Kas 

(2) B—>P(S):M,A,B,{N,.M,A.,B}Kas,{N,,M,A,B}Kbs 

(3) P(S)>B:M,{N,.M,A,B}Kas.{N,»M,A.B}Kbs 

(4) B>A: M.{N,-M,A,B}Kas 

这 样 ,攻击 者 就 成 功 地 进行 了 攻击 ,今后 就 可 以 通过 会 话 密 钥 CM,A,B) 监 听 A AB 
之 间 的 会 话 。 


5.3.2 mie) BARS 


时 间 戳 (time-stamp) 是 一 个 经 加 密 后 形成 的 凭证 文档 , 它 包 括 3 DY Ta DAY ad E 
的 文件 摘要 (digest) .DTS 收 到 文件 的 日 期 和 时 间 以 及 DTS 的 数字 签名 。 其 产生 过 程 一 
般 为 : 用 户 首先 将 需要 加 时 间 惟 的 文件 用 Hash 值 进行 编码 加 密 形 成 摘要 ,然后 将 该 摘 
要 发 送 到 DTS,DTS 在 加 入 了 收 到 文件 摘要 的 日 期 和 时 间 信 息 后 再 对 该 文件 加 密 ( 数 字 
签名 ) ,然后 送 回 用 户 。 

时 间 戳 服务 是 网 上 电子 商务 安全 服务 项 目 之 一 : 它 能 提供 对 电子 文件 的 日 期 和 时 间 
信息 的 安全 保护 。 其 实现 原理 如 图 5-7 所 示 。 
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权威 时 间 源 


=T] 
| 
T 
多 


上 
时 间 截 请 求 
IN 


F== 


签名 的 时 | 
间 堆 返回 LEC) 
带 签名 的 时 
间 蕉 文件 


图 5-7 时 间 惟 服务 工作 原理 


时 间 惟 服务 器 


在 很 多 情况 下 ,需要 证 明 某 个 文件 在 某 个 时 期 存在 。 版 权 或 专利 争端 就 是 谁 拥有 产 
生 争 议 的 工作 的 最 早 的 副本 , 谁 就 将 赢得 官司 。 对 于 纸 上 的 文件 ,公证 人 可 以 对 文件 签 
名 ,律师 可 以 保护 副本 。 如 果 产 生 了 争端 ,公证 人 或 律师 可 以 证 明 某 份 文 件 产生 于 某 个 
时 间 。 

在 数字 世界 中 ,事情 要 复杂 得 多 。 没 有 办 法 检查 算 改 签名 的 数字 文件 。 它 们 可 以 被 
无 止境 地 复制 和 修改 而 无 人 发 现 。 在 计算 机 文件 上 改变 日 期 标记 是 轻而易举 的 事 , 没 有 
人 在 看 到 数字 文件 后 说 :“ 是 的 ,这 个 文件 是 在 1952 年 12 月 4 日 以 前 创建 的 。” 

Bellcore 的 Stuart Haber 和 W. Scott Stornetta 研究 了 这 个 问题 ,认为 数字 时 间 标 志 
协议 有 下 列 3 条 性 质 : 

(1) 数据 本 身 必 须 有 时 间 标 记 , 而 不 考虑 它 所 用 的 物理 媒介 。 

(2) 必定 不 存在 改变 文件 的 1 个 比特 ,而 文件 却 没 有 明显 变化 。 

(3) 必定 不 可 能 用 不 同 于 当前 日 期 和 时 间 的 日 期 和 时 间 来 标记 文件 。 

针对 时 间 戳 服务 的 实现 原理 及 功能 特点 ,其 目前 主要 应 用 包括 金融 服务 .个 人 或 者 公 
司 银行 服务 .股票 交易 、 零 售 业 .直销 政府、 在 线 拍卖 、. 制 造 、 供 应 链 管 理 系统 和 医疗 网 络 
等 领域 。 


5.3.2.1 仲裁 解决 方法 


这 个 协议 的 参与 方 是 工 和 和 A, 其 中 工 提供 可 信 的 时 间 标 记 服务 ,A 希望 对 文件 加 上 
时 间 标 记 : 

(1) A 将 文件 的 副本 传送 给 工 。 

C2) 工 将 他 收 到 文件 的 日 期 和 时 间 记 录 下 来 ,并 妥善 保存 文件 的 副本 。 

现在 ,如 果 有 人 对 A 所 声明 的 文件 产生 的 时 间 有 怀疑 ,A 只 要 打 电 话 给 T, TO 
提供 文件 的 副本 ,并 证 明 他 是 在 标记 的 日 期 和 时 间接 收 到 文件 ,就 可 以 排除 对 A 的 
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该 解决 方案 如 图 5-8 所 示 。 


A T 
将 文件 副本 给 副本 加 上 时 
发 送 给 T 间 惟 并 保存 


图 5-8 ”仲裁 解决 方法 


这 个 协议 是 可 行 的 ,但 有 下 列 明显 问题 : 

(1) 没有 保密 性 ,A 不 得 不 将 文件 的 副本 交 给 T。 在 信道 上 窍 听 的 任何 人 都 可 以 读 
它 。 虽 然 A 可 以 对 文件 加 密 , 但 文件 仍 要 放 和 工 的 数据 库 中 , 谁 知 道 这 个 数据 库 有 多 
安全 ? 

(2) 数据 库 本 身 将 是 巨大 的 。 并 且 发 送 大 量 的 文件 给 工 所 要 求 的 带宽 也 非常 大 。 

(3) 存在 潜在 错误 。 传 送 错误 或 工 的 中 央 计 算 机 中 某 些 地 方 的 电磁 炸弹 引爆 将 使 A 
声明 的 时 间 标 志 完 全 无 效 。 

(4) 可 能 有 些 运行 时 间 标 记 业 务 的 人 并 不 像 工 那样 诚实 。 也 许 没有 任何 事情 能 阻止 
A 和 工 合谋 ,用 他 们 想 要 的 任何 时 间 对 文件 作 时 间 标 记 。 


5.3.2.2 改进 的 仲裁 解决 方法 


单 向 Hash 算法 和 数字 签名 能 够 轻而易举 地 解决 上 面 所 述 的 大 部 分 问题 ,采用 这 种 
方式 时 ,协议 修改 为 : 

(1) A 产生 文件 的 单 向 Hash 值 。 

(2) A 将 Hash 值 传送 给 T. 

G) 工 将 接收 到 Hash 值 的 日 期 和 时 间 附 在 Hash 值 后 ,并 对 结果 进行 数字 签名 。 

CA) 工 将 签名 的 散 列 和 时 间 标 记 送 回 给 A。 

该 改进 方案 如 图 5-9 所 示 。 


A T 
加 上 时 间 惟 并 进行 
i 数字 签名 
产生 文件 的 单 向 Hash 
Hash {fi 


图 5-9 改进 的 仲裁 解决 方法 


这 种 方法 解决 了 5. 2 节 提 到 的 除 最 后 一 个 问题 外 的 所 有 问题 。A 再 也 不 用 担心 展示 
她 的 文件 内 容 , 因 为 Hash 值 就 足够 了 。T 工 也 不 用 存储 文件 的 副本 (或 者 Hash 值 )。 这 
样 , 大 量 的 存储 要 求 和 安全 问题 被 解决 了 ,因为 单 向 Hash 算法 不 需要 密 钥 。A 可 以 立刻 
检查 她 在 步骤 (4) 中 接收 到 的 对 时 间 标 记 的 Hash 值 的 签名 。 这 样 ,她 将 立刻 发 现在 传送 
过 程 中 是 否 存 在 错误 。 
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这 里 还 存在 的 问题 是 ,A 和 工 仍 然 可 以 合谋 来 产生 他 们 想 要 的 任何 时 间 标 记 。 
5.3.2.3 链接 协议 


解决 这 个 问题 的 一 种 方法 是 将 A 的 时 间 标 记 同 以 前 由 工 产生 的 时 间 标 记 链 接 起 来 。 
这 些 时 间 标 记 很 可 能 是 为 其 他 人 产生 而 不 是 为 A 产生 的 。 巾 于 工 预 先 不 知道 他 所 接收 
的 不 同时 间 标 记 的 顺序 ,A 的 时 间 标 记 一 定 发 生 在 前 一 个 时 间 标 记 之 后 。 并 且 由 于 后 面 
来 的 请 求 是 与 A 的 时 间 标 记 链 接 , 那 么 她 必须 出 现在 前 面 。A 的 请 求 正好 夹 在 两 个 时 间 
之 间 。 

如 果 A 想 要 做 时 间 标 记 的 Hash 值 是 H, ,并且 前 一 个 时 间 标 记 是 T,-i, 那 么 协议 


WF: 
a) AH, MARZA T. 
H,,A>T 
(2) 工 将 如 下 消息 送 回 给 A。 
Ta = S&(n;,A, Hn Tas TH Ti La) 一 人 
这 里 ,L。 是 由 下 面 的 Hash 链接 信息 组 成 。 
Ea 三 


Sx 表示 信息 是 用 工 的 私 钥 签名 的 。A 的 名 字 表 明 她 是 请 求 的 发 起 者 ,参数 n 表示 请 
求 的 序号 : 这 是 工 发 布 的 第 n 个 时 间 标 志 。 人 参数 T, 是 时 间 。 

另外 的 信息 是 标识 L W Hash 值 H, BEE T :和 工 对 以 前 文件 做 的 时 间 标 记 
的 Hash 值 Las 

(3) 在 工 对 下 一 个 文件 做 时 间 标 记 后 ,他 将 那个 文件 发 起 者 的 标识 符 141 发 送 给 A。 

如 果 有 人 对 A 的 时 间 标 记 提 出 疑问 ,她 只 同 自己 前 后 文件 的 发 起 者 1-; 和 [+ 接触 
就 行 了 。 如 果 对 她 前 后 文件 也 有 疑问 ,他 们 可 以 同 Ino A 1,4s 接 触 等 ,每 个 人 都 能 表明 他 
们 的 文件 是 在 先 来 的 文件 之 后 和 后 来 的 文件 之 前 打上 时 间 标 记 的 。 

该 协议 过 程 如 图 5-10 所 示 。 


Hri Hnar Tai 
、 Ls 一 起 做 一 个 Hash 
的 链接 信息 Ln 
为 时 间 标记 产生 Lk N 
Hash 值 H, 并 连同 [| oe Daa 
ME Rea n-1» in a 
名 字 一 起 发 送 给 T 其 私 钥 签 名 


图 5-10 链接 协议 
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这 个 协议 使 A 和 工 很 难 合谋 去 产生 一 个 文件 的 时 间 标 记 , 使 它 不 同 于 实际 的 时 间 标 
记 。 工 不 可 能 为 A 顺 填 文件 的 日 期 。 如 果 这 样 T 就 要 预先 知道 在 它 之 前 是 哪个 文件 的 
请 求 。 即 使 他 伪造 那个 文件 ,但 也 得 知道 在 那个 文件 前 来 的 是 什么 文件 的 请 求 等 。 巾 于 
时 间 标 记 必 须 代 人 到 马上 发 布 的 后 一 个 文件 的 时 间 标 记 中 ,并 且 那 个 文件 也 已 经 发 布 了 ， 
他 不 可 能 倒 填 文件 的 日 期 。 破 坏 这 个 方案 的 唯一 的 办 法 是 在 A 的 文件 前 后 创建 一 个 虚 
构 的 文件 链 ,该 链 足 够 长 ,从 而 穷 举 任何 人 对 时 间 标 记 提 出 的 疑问 。 


5.3.2.4 分 布 式 协议 


人 去 世 之 后 ,时 间 标 记 就 会 丢失 。 在 时 间 标 记 和 质询 之 间 很 多 事情 都 可 能 发 生 ,以 使 
A 不 可 能 得 到 I :的 时 间 标记 的 副本 ,这 个 问题 可 以 通过 把 前 面 10 个 人 的 时 间 标 记 艇 入 
A 的 时 间 标 记 中 得 到 缓解 ,并 且 将 后 面 10 个 人 的 标识 都 发 给 A。 这 样 A 就 会 有 更 大 的 
机 会 找到 那些 仍 有 他 们 时 间 标 记 的 人 。 

按照 类 似 的 方法 ,下 面 的 协议 与 工 一 起 实现 分 布 式 协 议 。 

(1) 用 H 作为 输入 ,A 用 密码 安全 的 伪 随 机 数 发 生 器 产生 一 串 随机 值 。 

Vis Vas Vast We 

(2) A 将 这 些 值 的 每 一 个 看 作 其 他 人 的 工 身份 标识 。 她 将 H, 发 送 给 他 们 中 的 每 
A Ros 
(3) 他 们 中 的 每 个 人 将 日 期 和 时 间 附 到 Hash 值 后 ,对 结果 签名 ,并 将 它 送 回 给 A。 
(4) A 收集 并 存储 所 有 的 签名 作为 时 间 标 记 。 
协议 过 程 如 图 5-11 所 示 。 


A 其 他 人 


n FENERE, 
后 ， 并 对 其 签名 1 


利用 伪 随 机 数 发 生 器 
产生 随机 值 EIT Ta RT HEH, 
后 ， 并 对 其 签名 1 


将 时 间 截 附 在 Hn 
后 ， 并 对 其 签名 Ik 


图 5-11 分 布 式 协议 


步骤 (1) 中 密码 安全 的 伪 随 机 数 发 生 器 防止 了 A 故意 选取 不 可 靠 的 工作 为 证 人 。 即 
使 她 在 自己 的 文件 中 作 些 改变 以 便 构 造 一 组 不 可 靠 的 工 她 用 这 种 方式 逃脱 的 机 会 也 是 
很 小 的 ,Hash 算法 使 1 随机 化 了 。A 不 可 能 强迫 他 们 。 
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这 个 协议 是 可 行 的 ,因为 A 伪造 时 间 标 记 的 唯一 办 法 是 使 K 个 人 都 与 她 合作 。 由 于 
她 在 步骤 (1) 中 随机 地 选择 K 个 人 ,因此 防备 这 种 攻击 的 可 能 性 是 很 高 的 。 社 会 越 腐 败 ， 
K 值 就 应 越 大 。 

另外 ,应 该 有 一 些 机 制 来 对 那些 不 能 马上 返回 时 间 标 记 的 人 进行 处 理 。K 的 一 些 子 
集 都 应 是 有 效 时 间 标 记 所 要 求 的 。 其 细节 由 具体 的 实现 来 决定 。 


5.3.2.5 ”二叉树 方法 


时 间 标 记 协 议 的 一 种 改进 是 利用 二 又 树 来 增加 时 间 标 记 的 数目 。 这 个 时 间 标 记 的 数 
目 依 赖 于 一 个 给 定 的 时 间 标 记 , 以 进一步 减少 某 些 人 产生 虚拟 时 间 标 记 链 的 可 能 性 。 在 
公共 地 方 也 可 以 公布 每 天 时 间 标 记 的 Hash 值 , 例 如 在 报纸 上 。 这 类 似 于 在 分 布 协议 中 
发 送 Hash 值 给 随机 的 人 。 事 实 上 ,从 1992 年 起 时 间 标 记 就 已 经 出 现在 每 星期 日 的 4 纽 
约 时 报 》 上 了 。 

这 些 时 间 标 记 协 议 取得 了 专利 权 。 原 隶属 于 Bellcore 公司 的 Surety 技术 公司 拥有 
这 些 专利 ,并 将 数字 公证 系统 推 向 市 场 以 支持 这 些 协议 。 

在 第 一 版 中 ,客户 发 出 * 证 明 ? 请 求 给 中 央 协 调 服务 器 。 

下 述 Merkle 技术 使 用 Hash 算法 构造 树 : 服务 器 构造 由 Hash 值 构成 的 树 , 树 的 叶 
子 是 在 给 定时 间 秒 期 间 所 有 接收 的 请 求 , 并 且 服 务 器 把 从 它 的 叶子 到 树 根 的 路 径 上 Hash 
值 的 列表 发 回 给 每 位 请 求 者 。 客 户 软件 把 它 存储 在 本 地 ,并 能 为 已 经 证 明 的 任何 文件 发 
布 一 个 数字 公证 的 “证 书 ”。 这 些 树 的 根 序列 由 在 多 个 储存 库 地 点 用 电子 手段 获得 的 “全 
程 有 效 记 录 ” 组 成 (也 在 CD-ROM 上 发 布 )。 客 户 软 件 也 包括 一 个 有效 ”函数 ,允许 用 户 
测试 文件 是 否 已 经 被 准确 地 用 其 当前 形式 证 明 ( 对 适当 的 树 根 通过 查询 储存 库 , 并 把 它 与 
从 文件 和 它 的 证 书 中 重新 计算 出 的 Hash 值 进行 比较 )。 


5.3.3 隐蔽 信道 通信 的 需求 


假设 A Fl BPA TK. A 将 去 男 牢房 ,而 B 则 进 女 牢房 。 看 守 W 同意 A 和 B 交换 
消息 ,但 不 允许 他 们 加 密 。 因 为 W 认为 他 们 可 能 会 商讨 逃跑 计划 ,因此 ,w 想 能 够 阅读 
他 们 信息 交换 的 每 个 细节 。 

W 也 希望 欺骗 A 和 B, 他 想 让 他 们 中 的 一 个 将 一 份 欺诈 的 消息 当 作 来 自 男 一 个 的 真 
KWA. AM B 愿意 冒 这 种 被 欺骗 的 危险 ,否则 他 们 根本 无 法 联络 ,而 他 们 必须 商讨 
计划 。 

为 了 完成 这 件 事 ,他们 不 得 不 欺骗 看 守 , 并 找 出 一 个 秘密 通信 的 方法 。 他 们 不 得 不 建 
立 一 个 隐蔽 信道 , 即 他 们 之 间 完 全 在 W 视野 内 的 一 个 秘密 通信 信道 ,即使 消息 本 身 并 不 
包含 秘密 信息 。 通 过 交换 完全 无 害 的 签名 消息 ,他 们 可 以 来 回 传送 秘密 信息 ,并 骗 过 W., 
即使 W 正在 监视 所 有 的 通信 。 

一 个 简易 的 隐蔽 信道 可 以 是 句子 中 单词 的 数目 。 句 子 中 奇数 个 单词 对 应 “1”, 而 偶数 
个 单词 对 应 0”。 因 此 , 当 读 到 这 种 仿佛 无 关 的 段落 时 ,已 将 消息 "101” 送 给 了 在 现场 的 自 
己 一 方 的 人 。 这 种 技术 的 问题 在 于 它 仅仅 是 密码 ; 没有 密 钥 ,安全 性 依赖 于 算法 的 保 
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Gustavus Simmons 发 明了 传统 数字 签名 算法 中 隐蔽 信道 的 概念 。 由 于 隐蔽 消息 隐 
藏 在 看 似 正常 数字 签名 的 文本 中 ,这 是 一 种 迷惑 人 的 形式 。W 看 到 来 回 传递 的 签名 的 无 
害 消 息 ,但 他 完全 看 不 到 通过 隐蔽 信道 传递 的 信息 。 事 实 上 ,隐蔽 信道 签名 算法 与 通常 的 
签名 算法 不 能 区 别 , 至 少 对 W 是 这 样 。W 不 仅 不 能 读 隐 项 信道 消息 ,而 且 他 也 不 知道 隐 
蔽 信道 消息 已 经 出 现 。 

一 般 地 ,协议 过 程 如 下 : 

(1) A 产生 一 个 无 害 消息 ,最 好 是 随机 的 。 

(2) 用 与 BB 共享 的 密 钥 ,A 对 这 个 无 害 信息 这 样 签 名 ,她 在 签名 中 隐藏 她 的 隐蔽 
信息 。 

(3) A 通过 W 发 送 签 名 消息 给 B。 

(4) W 读 这 份 无 害 的 消息 并 检查 签名 , 没 发 现 什么 问题 ,他 将 这 份 签 了 名 的 消息 传递 


给 B. 
(5) B 检查 这 份 无 害 消息 的 签名 ,确认 消息 来 白 于 A。 

(6) B 忽略 无 害 的 消息 ,而 用 他 与 A 共享 的 密 钥 ,提取 隐蔽 消息 。 
该 协议 如 图 5-12 所 示 。 


A 
随机 生成 B 
个 无 害 
检查 签名 并 确 
认 消 息 的 发 送 者 
利用 与 B 的 
sera a A 的 隐蔽 信息 ed 
共享 密 角 fae ie 提取 隐蔽 消息 并 
签名 用 共享 密 钥 解密 


w K 


eae pe IE 
Ne eater 用 共享 密 钥 解 密 


oe 


图 5-12 ”隐蔽 信道 


怎样 进行 欺骗 呢 ? W 不 相信 任何 人 .别人 也 不 相信 他 。 他 是 可 以 阻止 通信 ,但 他 没 
法 构造 虚假 信息 。 如 果 他 构造 假 信息 ,由 于 他 没 法 产生 任何 有 效 的 签名 ,B 将 在 步骤 (5) 
中 检测 出 他 的 意图 。 并 且 , 由 于 他 不 知道 共享 密 钥 ,他 没 法 阅读 隐蔽 信息 。 更 重要 的 是 ， 
他 不 知道 隐蔽 信息 在 哪里 。 用 数字 签名 算法 签名 后 的 消息 与 符 和 人 到 签名 中 的 隐蔽 消息 看 
上 去 没有 不 同 。 

A 和 B 之 间 的 欺骗 问题 就 更 多 。 在 隐蔽 信道 的 一 些 实现 中 ,B 需要 从 隐蔽 信道 读 的 
秘密 信息 与 A 需要 签名 的 无 害 信 息 是 相同 的 。 如 果 这 样 ,B 能 够 冒充 A。 他 能 对 消息 签 
名 而 声称 该 消息 来 源 于 她 ,而 对 此 A 无 能 为 力 。 如 果 她 要 给 他 发 送 隐蔽 消息 ,她 不 得 不 
相信 他 不 会 滥用 她 的 私 钥 。 

别 的 隐蔽 信道 应 用 中 没有 这 个 问题 。 由 A 和 B 共享 的 密 钥 允许 A 给 BARE kateta 
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息 ,但 这 个 密 钥 与 A 的 私 钥 不 同 , 并 不 允许 B 对 消息 签名 。A 也 就 不 必 相 信 B 不 会 滥用 
她 的 私 钥 了 。 


5.3.3.1 隐蔽 信道 的 应 用 


隐蔽 信道 最 显著 的 应 用 是 在 间谍 网 中 。 如 果 每 人 都 收发 签名 消息 ,间谍 在 签名 文件 
中 发 送 隐 蔽 信息 就 不 会 被 注意 到 。 当 然 , 敌 方 的 间谍 也 可 以 做 同样 的 事 。 

用 一 个 隐蔽 信道 ,A 可 以 在 受到 威胁 时 安全 地 对 文件 签名 。 她 可 以 在 签名 文件 时 幅 
入 隐蔽 消息 ,说 “我 被 胁迫 ”。 

另外 的 应 用 则 更 为 微妙 : 公司 可 以 签名 文件 ,嵌入 隐藏 信息 ,人 允许 它们 在 整个 文档 有 
效 期 内 被 跟踪 。 政 府 可 以 “标记 ”数字 货币 。 恶 意 的 签名 程序 可 能 泄露 其 签名 中 的 秘密 信 
息 等 ,其 可 能 性 是 无 穷 的 。 


5.3.3.2 杜绝 隐蔽 的 签名 


A 和 B 互相 发 送 签 名 消息 ,协商 合同 的 条 款 , 使 用 数字 签名 协议 。 但 是 ,这 个 合同 谈 
判 是 用 来 掩护 A 和 B 的 间谍 活动 。 当 他 们 使 用 数字 签名 算法 时 ,他 们 不 关心 所 签名 的 消 
息 。 他 们 利用 签名 中 的 隐蔽 信道 彼此 传送 秘密 信息 。 

然而 , 反 间 谍 机 构 不 知道 合同 谈判 以 及 签名 消息 的 应 用 只 是 表面 现象 。 因 此 人 们 创 
立 了 杜绝 隐藏 的 签名 方案 。 这 些 数字 签名 方案 不 能 被 变更 让 其 包含 隐蔽 信道 。 


5.3.4 不 可 抵赖 的 数字 签名 


一 般 的 数字 签名 可 以 被 准确 复制 。 这 个 性 质 有 时 是 有 用 的 :比如 公开 宣传 品 的 发 布 。 
在 其 他 情况 下 , 它 则 可 能 有 问题 。 

想像 一 下 数字 签名 的 私人 或 商业 信件 。 如 果 到 处 散布 那个 文件 的 许多 复制 ,而 每 个 
复制 又 能 够 被 任何 人 验证 ,这样 可 能 会 导致 窘迫 或 勒索 。 最 好 的 解决 方案 是 数字 签名 能 
够 被 证 明 是 有 效 的 ,但 没有 签名 者 的 同意 .接收 者 不 能 把 它 给 第 三 方 看 。 

举 一 个 例子 : A 软件 公司 发 布 DEW 软件 (do-everything-word)。 为 了 确认 软件 中 不 
带 病毒 ,他们 在 每 个 复制 中 包括 一 个 数字 签名 。 但 是 .他 们 只 想 让 软件 的 合法 买主 能 够 验 
证 数字 签名 ,盗版 者 则 不 能 。 同 时 ,如 果 DEW 复制 中 发 现 有 病毒 ,A 软件 公司 不 能 否认 
一 个 有 效 的 数字 签名 。 

不 可 抵赖 签名 适合 于 这 类 任务 。 与 通常 的 数字 签名 类 似 的 是 ,不 可 抵赖 签名 依赖 于 
签名 的 文件 和 签名 者 的 私 钥 。 但 不 同 的 是 ,如 果 没 有 得 到 签名 者 同意 ,不 可 抵赖 签名 就 不 
能 验证 。 

虽然 对 这 些 签名 ,用 像 “ 不 可 改变 的 签名 ”一 类 的 名 称 更 好 ,但 这 个 名 称 的 由 来 是 
如 果 A 被 强迫 承认 或 抵赖 一 个 签名 (很 可 能 在 法 庭 上 ) ,她 不 可 能 不 实地 否认 她 的 真实 
签名 。 

数学 描述 是 复杂 的 ,但 其 基本 思想 是 简单 的 : 

ad) A 向 出 示 一 个 签名 。 

(2) B 产生 一 个 随机 数 并 送 给 A. 
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G) A 对 收 到 的 随机 数 利用 自己 的 私 钥 进 行 计 算 , 将 计算 结果 送 给 Bo 
(4) A 只 能 计算 该 签名 是 否 有 效 。 

B 可 以 确认 这 个 结果 。 

上 述 思 想 如 图 5-13 所 示 。 


A B 
发 送 一 个 签名 给 B Td 
B 产生 随机 数 
用 私 钥 对 随机 数 进 发 送 给 A 
行 计算 并 发 送 给 B 


图 5-13 不 可 抵赖 的 数字 签名 


也 有 另外 的 协议 ,使 A 能 够 证 明 她 没有 对 文件 签名 ,同时 又 不 能 抵赖 签名 。 

B 不 能 转 而 让 C 相信 A 的 签名 是 有 效 的 ,因为 C 不 知道 B 的 数字 是 随机 数 ,而 且 B 
很 容易 在 文件 上 完成 这 个 协议 ,而 不 用 A 的 任何 帮助 ,然后 就 将 结果 出 示 给 C。 所 以 ,C 
只 有 在 她 与 A 本 人 完成 这 个 协议 后 ,才能 相信 A 的 签名 是 有 效 的 。 

这 个 解决 方法 并 不 完美 ,Yvo Desmedt 和 Moti Yung 的 研究 表明 ,在 某 些 情况 下 ,B 
让 C 相信 A 的 签名 有 效 是 可 能 的 。 

例如 ,B 买 了 DEW 的 一 个 合法 复制 ,他 能 在 任何 时 候 验 证 软件 包 的 签名 。 然 后 ,B 使 
C 相信 他 是 来 自 于 A 软件 公司 的 销售 商 。 他 卖 给 她 一 个 DEW 的 盗版 。 当 C 试图 验证 B 
的 签名 时 ,他 同时 要 验证 A 的 签名 。 当 CC 发 给 B 随机 数 时 ,B 把 它 送 给 A; 当 A 响应 后 ， 
B 就 将 响应 送 给 C。 于 是 C 相信 她 是 该 软件 的 合法 买主 ,尽管 她 并 不 是 。 

即使 如 此 ,不 可 抵赖 的 签名 仍 有 许多 应 用 ,在 很 多 情况 中 ,A 不 想 任何 人 都 能 够 验证 
她 的 签名 。 她 不 希望 自己 的 个 人 通信 被 媒体 核查 、 展 示 或 者 在 事情 已 经 改变 后 被 验证 。 
如 果 她 对 自己 卖 出 的 信息 签名 ,她 不 希望 没有 对 信息 付 钱 的 那些 人 能 够 验证 它 的 真实 性 。 
控制 谁 验证 她 的 签名 是 A 保护 她 的 个 人 隐私 的 一 种 方法 。 

不 可 抵赖 签名 的 一 种 变化 是 把 签名 者 与 消息 之 间 的 关系 与 签名 者 与 签名 之 间 的 关系 
分 开 。 在 这 种 签名 方案 中 ,任何 人 能 够 验证 签名 者 实际 产生 的 签名 ,但 签名 者 的 合作 者 还 
需要 验证 该 消息 的 签名 是 有 效 的 。 

相关 的 概念 是 “受托 不 可 抵赖 签名 ”。 设 想 A 为 某 公 司 工 作 . 并 使 用 不 可 抵赖 的 签名 
协议 发 送 控告 文件 给 报纸 。A 能 够 对 报社 记者 验证 她 的 签名 ,但 不 向 其 他 任何 人 验证 签 
名 。 然 而 执行 总 裁 B 怀疑 文件 是 A 提供 的 ,他 要 求 A 执行 否认 协议 来 澄清 她 的 名 字 , 人 A 
拒绝 了 。B 认为 A 不 得 不 拒绝 的 唯一 理由 是 她 有 罪 .于 是 便 解 雇 她 。 

除了 和 否认 协议 只 能 由 T 执行 外 ,受托 不 可 抵赖 签名 类 似 不 可 抵赖 签名 。B 不 能 要 求 
A 执行 否认 协议 ,只 有 工 能 够 。 如 果 工 是 法 院 系统 ,那么 他 将 只 在 解决 正式 的 争端 的 时 
候 执 行 协议 。 
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5.3.5 指定 的 确认 者 签名 


A 公司 销售 DEW 软件 的 生意 非常 兴隆 ,但 是 ,A 花 在 验证 不 可 抵赖 签名 的 时 间 比 编 
写 新 功能 部 件 的 时 间 更 多 。 

所 以 ,A 希望 有 一 种 办 法 可 以 在 公司 中 指定 一 个 特殊 的 人 ,比如 C, 负 责 对 整个 公司 
的 签名 验证 。A 或 任何 其 他 程序 员 可 以 用 不 可 抵赖 协议 对 文件 签名 ,但 是 所 有 验证 都 由 
C 处 理 。 

研究 表明 ,用 指定 的 确认 人 签名 是 可 行 的 。A 可 以 对 文件 签名 ,而 B 相信 签名 是 有 
效 的 ,但 他 不 能 使 第 三 方 相信 。 同 时 ,A 可 以 指定 C 作为 她 签名 后 的 确认 人 。A 甚至 事 
先 不 需要 得 到 C 的 同意 ,她 只 需要 C 的 公开 密 钥 。 如 果 A 不 在 家 ,已 经 离开 公司 ,或 者 突 
然 死亡 了 ,C 仍然 能 够 验证 A 的 签名 。 

指定 的 确认 人 签名 是 标准 的 数字 签名 和 不 可 抵赖 签名 的 折 中 。 肯 定 有 一 些 场合 A 
可 能 想 要 限制 能 验证 她 的 签名 的 人 。 另 一 方面 :如 果 A 完全 控制 , 则 破坏 了 签名 的 可 实 
施 性 : A 可 能 在 确认 或 否认 方面 拒绝 合作 ,她 可 能 声称 用 于 确认 或 否认 的 密 钥 丢失 了 ,或 
者 她 可 能 正好 身份 不 明 。 指 定 的 确认 人 签名 让 A 既 能 保护 不 可 抵赖 签名 同时 又 不 让 她 
滥用 这 种 保护 。A 可 能 更 喜欢 那 种 方式 : 指定 的 确认 人 签名 能 够 帮助 她 防止 错误 的 应 
用 ,如 果 她 确实 丢失 了 密 钥 ,可 以 保护 她 ,如 果 她 是 在 度假 ,在 医院 ,甚至 死 了 ,也 可 以 插手 
Tø. 

这 种 想法 有 各 种 可 能 的 应 用 。C 能 够 把 她 自己 作为 公证 人 公开 。 她 能 够 在 一 些 地 方 
的 一 些 目录 中 发 布 她 的 公开 密 钥 ,人 们 能 够 指定 她 作为 他 们 签名 的 确认 人 。 她 向 大 众 收 
取 少 量 的 签名 确认 费用 ,使 她 可 以 生活 得 很 好 。 

C 可 能 是 版 权 事务 所 政府 机 构 、 其 他 的 很 多 事物 。 这 个 协议 允许 组 织 机 构 把 签署 文 
件 的 人 同 帮 助 验 证 签名 的 人 分 开 。 


5.3.6 代理 签名 


指定 确认 人 签名 允许 签名 者 指定 其 他 某 个 人 来 验证 他 的 签名 。 但 是 ,如 果 A 需要 到 
一 些 地 方 进行 商业 旅行 ,这 些 地 方 不 能 很 好 地 访问 网 络 ( 例 如 到 非洲 丛林 )。 或 者 她 在 大 
手术 后 ,无 能 为 力 。 她 希望 接收 一 些 重要 的 电子 邮件 ,并 指示 她 的 秘书 B 作 相 应 的 回信 。 
A 在 不 把 她 的 私 钥 给 B 的 情况 下 ,该 如 何 让 B 行 使 她 的 消息 签名 权利 呢 ? 

代理 签名 是 一 种 解决 方案 。A 可 以 给 BB 代理 ,这 种 代理 具有 下 面 的 特性 : 

Q) 可 区 别 性 。 任 何人 都 可 区 别 代理 签名 和 正常 签名 。 

(2) 不 可 伪造 性 。 只 有 原始 签名 者 和 指定 代理 签名 者 能 够 产生 有 效 的 代理 签名 。 

(3) 代理 签名 者 的 不 符合 性 。 代 理 签名 者 必须 创建 一 个 能 检测 到 是 代理 签名 的 有 效 
代理 签名 。 

(4) 可 验证 性 。 从 代理 签名 中 ,验证 者 能 够 相信 原始 签名 者 认同 了 这 份 签名 消息 。 

(5) 可 识别 性 。 原 始 签名 者 能 够 从 代理 签名 中 识别 代理 签名 者 的 身份 。 

(6) 不 可 抵赖 性 。 代 理 签名 者 不 能 否认 他 创立 的 且 被 认可 的 代理 签名 。 

在 某 些 情况 下 ,需要 更 强 的 可 识别 性 形式 , 即 任何 人 都 能 从 代理 签名 中 确定 代理 签名 
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者 的 身份 。 


5.3.7 团体 签名 


David Chaum 提出 了 下 述 问题 : 一 个 公司 有 几 台 计算 机 ,每 台 都 连 在 局 域 网 上 。 公 
司 的 每 个 部 门 有 自己 的 打印 机 ,也 连 在 局 域 网 上 ,并 且 只 有 本 部 门 的 人 员 可 以 使 用 自己 部 
门 的 打印 机 。 因 此 ,打印 前 ,必须 使 打印 机 确认 用 户 是 在 哪个 部 门 工作 的 。 同 时 ,公司 想 
保密 ,不 可 以 暴露 用 户 的 姓名 。 

然而 ,如 果 在 当天 工作 结束 时 发 现 打 印 机 用 得 太 频繁 ,主管 者 必须 能 够 找 出 谁 滥用 了 
那 台 打印 机 。 

对 这 个 问题 的 解决 方法 称 为 团体 签名 。 它 具有 以 下 特性 : 

(1) 只 有 该 团体 内 的 成 员 能 对 消息 签名 。 

(2) 签名 的 接收 者 能 够 证 实 消息 是 该 团体 的 有 效 签 名 。 

(3) 签名 的 接收 者 不 能 决定 是 该 团体 内 哪 一 个 成 员 签 的 名 。 

(4) 在 出 现 争议 时 ,签名 能 够 “打开 ”, 以 揭示 签名 者 的 身份 。 

下 面 采用 具有 可 信和 仲裁 者 的 团体 签名 来 解决 这 一 问题 。 利 用 可 信和 仲裁 者 T: 

d) 工 生成 一 大 批 公开 密 钥 / 私 有 密 钥 对 ,并 且 给 团体 内 每 个 成 员 一 个 不 同 的 唯一 私 
钥 表 。 在 任何 表 中 密 钥 都 是 不 同 的 (如 果 团 体内 有 n 个 成 员 ,每 个 成 员 得 到 m 个 密 钥 对 ， 
那么 总 共有 nXm 个 密 钥 对 )。 

(2) 工 以 随机 顺序 公开 该 团体 所 用 的 公开 密 钥 主 表 。T 保存 一 个 哪些 密 钥 属于 谁 的 
秘密 记录 。 

(3) 当 团 体内 成 员 想 对 一 个 文件 签名 时 ,他 从 自己 的 密 钥 表 中 随机 选取 一 个 密 钥 。 

(4) 当 有 人 想 验 证 签名 是 否 属于 该 团体 时 ,只 需 查 找 对 应 公 钥 主 表 并 验证 签名 。 

(5) 当 争 议 发 生 时 ,T 知道 哪个 公 钥 对 应 于 哪个 成 员 。 

该 协议 如 图 5-14 所 示 。 

这 个 协议 的 问题 在 于 需要 可 信 的 一 方 。T 知道 每 个 人 的 私 钥 因而 能 够 伪造 签名 。 而 
且 ,m 必须 足够 长 以 避免 试图 分 析出 每 个 成 员 用 的 哪些 密 钥 。 


5.3.8 失败 -终止 数字 签名 


假想 王 是 非常 强 的 敌人 ,拥有 巨大 的 网 络 和 很 多 装 满 了 超级 计算 机 的 屋子 ,其 计算 
机 的 能 力 比 A 大 许多 级 。 这 些 计 算 机 昼夜 工作 试图 破译 出 A 的 私 钥 AMT. ER 
在 就 能 够 冒充 A ,随意 地 在 文件 上 伪造 她 的 签名 。 

由 Birgit Pfitzmann 和 Michael Waidner 引入 的 失败 -终止 数字 签名 可 以 避免 这 种 其 
诈 。 如 果 下 在 穷 举 攻击 后 伪造 A 的 签名 ,那么 A 能 够 证 明 它 们 都 是 伪造 的 。 如 果 A 对 
文件 签名 ,然后 否认 签名 ,声称 是 伪造 的 ,法 院 能 够 验证 它 不 是 伪造 的 。 

失败 -终止 签名 的 基本 原理 是 : 对 每 个 可 能 的 公开 密 钥 ,都 对 应 有 多 种 可 能 的 私 钥 和 
它 一 起 工作 。 这 些 私 钥 中 的 每 一 个 产生 许多 不 同 的 可 能 的 签名 。 然 而 ,A 只 有 一 个 私 
钥 , 只 能 计算 一 个 签名 。A 并 不 知道 别 的 任何 私 钥 。 

E 试图 破解 出 A 的 密 钥 。 王 也 可 能 是 A,. 试 图 为 她 自己 计算 第 二 个 私 钥 。 她 收集 签 
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T 
产生 一 批 公开 /私有 密 ; 
钥 对 ， 并 分 发 给 每 个 成 一 一 | 记 
员 一 个 唯一 私 钥 表 x 


随机 公布 公开 密 钥 主 表 
K 


K 
Kı K2 RS 
在 密 钥 对 Ki 在 密 钥 对 K> 在 密 钥 对 K 
中 随机 选择 密 中 随机 选择 密 中 随机 
钥 进行 签名 钥 进行 签名 钥 进 行 签名 
根据 K 进 行 根据 K 进 行 根据 K 进 行 
签名 的 验证 签名 的 验证 签名 的 验证 
成 员 1 成 员 2 成 员 n 


图 5-14 具有 可 信 仲 裁 者 的 团体 签名 


名 消息 ,并 且 利 用 她 的 超级 计算 机 阵列 ,试图 恢复 出 A 的 私 钥 。 假 设 玉 能 够 恢复 出 有 效 
的 私 钥 , 但 因为 有 许多 可 能 的 私 钥 , 因 而 正在 使 用 的 这 个 私 钥 可 能 是 不 同 的 一 个 。E 恢复 
出 正确 的 私 钥 的 概率 非常 小 ,可 以 忽略 不 计 。 

现在 , 当 王 利用 她 产生 的 私 钥 伪 造 签 名 时 , 它 将 不 同 于 A 本 人 对 文件 的 签名 。 当 A 
被 传 到 法 院 , 对 同一 消息 和 公开 密 钥 .她 可 以 生成 另 一 个 不 同 的 签名 ,有 别 于 王 产 生 的 签 
名 ,以 证 明 是 伪造 的 。 而 男 一 方面 ,如 果 A 不 能 产生 出 不 同 的 签名 ,就 表明 不 存在 伪造 ,A 
就 要 对 她 的 签名 负责 。 

这 个 签名 方案 避免 了 下 通过 巨大 的 计算 能 力 来 破译 A 的 签名 方案 。 但 它 对 下 面 这 
种 更 有 可 能 发 生 的 攻击 却 无 能 为 力 : 当 M 闻 入 A 的 住宅 并 偷窃 她 的 私 钥 或 者 A 签署 了 
一 个 文件 然后 却 丢 失 了 她 的 私 钥 时 ,为 了 防止 这 种 攻击 .A 应 该 自己 负责 ,这 种 事情 已 超 
出 了 密码 学 的 范围 。 


5.3.9 用 加 密 的 方法 计算 数据 


设想 如 下 情况 ,A 想 知道 某 个 函数 f(x) 对 某 些 特殊 的 x 值 的 解 。 但 是 ,她 的 计算 机 
坏 了 ,B 愿意 为 她 计算 f(x) ,但 A 又 不 想 让 B 知道 她 的 x。 怎 样 做 A 才能 在 不 让 B 知道 x 
的 情况 下 为 她 计算 f(x) 呢 ? 

这 是 加 密 数 据 计算 的 一 般 问 题 , 亦 称 “对 先知 隐藏 信息 ”问题 。B 是 先知 ,他 回答 
问题 。 

对 某 些 函数 来 说 有 办 法 解决 这 个 问题 。 例 如 下 面 的 情形 : 
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已 知 一 个 大 素数 p 和 一 个 生成 元 g,A 有 x, 希望 求 得 e, 使 得 
g° = x (mod p) 
这 种 情形 下 ,A 就 可 以 在 不 泄漏 x 的 情况 下 要 求 B 帮助 计算 结果 ,协议 过 程 如 下 : 
(1) A 选择 一 个 小 于 p 的 随机 数 ro 
(2) A 计算 
x’ = xg’ mod p 
(3) A ER BHH e' ,使 得 
g” = x' mod p 
(4) B 将 计算 的 e' 发 给 A。 
(5) A 计算 e=(e'—r) mod (p—1) , 求 得 e. 


5.3.10 公平 的 硬币 抛掷 的 游戏 和 应 用 


有 一 种 游戏 : A 和 也 想 抛掷 一 个 公平 的 硬币 ,但 又 没有 实际 的 物理 硬币 可 用 。A 提 
出 一 个 用 思维 来 抛掷 公平 硬币 的 方法 。 

“首先 ,你 想 一 个 随机 比特 ,然后 我 再 想 一 个 随机 比特 。 然 后 我 们 将 这 两 个 比特 进行 
Hay "A 建议 。 

“但 如 果 我 们 中 有 人 不 随机 选 比特 怎么 办 呢 ??B 问 道 。 

“这 无 关 紧 要 。 只 要 这 些 比特 中 的 一 个 是 真正 随机 的 ,它们 之 异 或 应 该 也 是 真正 随机 
Hy "A 回答 。 

没 过 多 久 ,A 和 B 碰 到 一 本 被 丢弃 在 路 旁 的 书 。A 说 :“ 我 们 中 有 一 个 必须 拣 起 这 本 
书 , 并 找到 一 个 合适 的 垃圾 箱 ”。B 同意 并 提议 用 前 面 提 到 的 抛 币 协议 来 决定 谁 必须 将 这 
本 书 扔 掉 。 

“如 果 最 后 的 比特 是 “0 ,那么 你 必须 拣 起 那 本 书 ; 如 果 是 “1’., 那 我 必须 那样 做 ”A 
说 。“ 你 的 比特 是 什么 ?” 

B 答 道 ,“1”。 

“我 的 也 是 1”, A 顽皮 地 说 :“ 我 猜想 今天 不 是 你 的 幸运 日 。” 

很 明显 ,这 个 抛 币 协议 有 严重 缺陷 。 虽 然 , 真 正 随机 的 比特 x 与 任意 独立 分 配 的 比特 
y 异 或 仍 得 到 真正 随机 的 比特 。 但 是 A 的 协议 不 能 保证 两 个 比特 是 独立 分 布 的 。 

事实 上 ,容易 验证 不 存在 能 让 两 个 能 力 无 限 的 团体 进行 公平 抛 币 的 思维 协议 。 

接 下 来 ,A 和 了 B 对 原 协 议 版 本 进行 了 修改 。 

首先 ,B 确定 一 个 比特 ,但 这 次 他 不 立即 宣布 ,只 是 将 它 写 在 纸 上 , 并 装 入 信封 中 。 接 
下 来 ,A 公布 她 选 的 比特 。 最 后 ,A 和 B 从 信封 中 取出 B 的 比特 并 计算 随机 比特 。 只 要 
至 少 一 方 诚实 地 执行 协议 ,这 个 比特 的 确 是 真正 随机 的 。 

A 和 BB 有 了 这 个 可 以 工作 的 协议 。 

一 般 地 ,需要 一 个 具有 如 下 性 质 的 协议 : 

(1) A 必须 在 B 猜测 之 前 抛 币 。 

(2) 在 听 到 B 的 猜测 结果 后 ,A 不 能 再 抛 币 。 
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(3) 也 在 猜测 之 前 必须 不 能 知道 硬币 怎么 落地 的 。 
有 以 下 几 种 方法 可 用 来 实现 具有 这 些 性 质 的 协议 。 


5.3.10.1 采用 单 向 函数 的 抛 币 协议 


如 果 A 和 B 对 使 用 一 个 单 向 函数 达成 一 致意 见 , 协 议 非常 简单 : 

A) A 选择 一 个 随机 数 x, 她 计算 y 二 f(x) ,这 里 {(x) 是 单 向 函数 。 

(2) A 将 y 送 给 B。 

(3) B 猜测 x 是 偶数 或 奇数 ,并 将 猜测 结果 发 给 A。 

(4) 如 果 B 的 猜测 正确 , 抛 币 结 果 为 正面 ; 如 果 B 的 猜测 错误 , 则 抛 币 的 结果 为 反 
面 。A 公布 此 次 抛 币 的 结果 ,并 将 x 发 送 给 Bo 

(5) B HA y=f(x). 

该 协议 如 图 5-15 所 示 。 


A B 
选择 随机 数 x， 
并 作 y=f(x) 的 计 y 
算 ， 并 把 发 
RS JEDE 
- 是 个 数 ， 并 将 猜 


测 结 果 发 送 给 A 


公布 擅 币 结果 ， | 
ewe [TO] | Meo 


图 5-15 采用 单 向 函数 的 抛 币 协议 


此 协议 的 安全 性 取决 于 单 向 函数 。 如 果 A 能 找到 x 和 x' ,满足 x 为 偶而 满足 x 为 
a. A y 王 f(x) 二 {f(x') ,那么 她 每 次 都 能 欺骗 B。 

f(x) 没有 意义 的 比特 也 必须 与 x 不 相关 。 否 则 ,B 至 少 某 些 时 候 能 够 欺骗 A。 例如 ， 
如 果 x 是 偶数 ,f(x) 产 生 偶 数 的 次 数 占 75% ,B 就 有 优势 。 


5.3.10.2 采用 公开 密 钥 密码 的 抛 币 协议 


这 个 协议 既 可 与 公开 密 钥 密码 又 可 与 对 称 密码 一 起 工作 。 其 唯一 要 求 是 算法 满足 交 

换 律 , 即 
Dy, (Ex, (Ex, (M))) = Ex, (M) 

一 般 地 ,对 称 算 法 中 这 个 特性 并 不 满足 ,但 对 某 些 公开 密 钥 算 法 是 正确 的 (例如 有 相 
同 模 数 的 RSA 算法 ) 。 协 议 如 下 : 

(1) A 和 B 都 产生 一 个 公开 /私有 密 钥 对 。 

(2) A 产 生 两 个 消息 ,其 一 指示 正面 , 另 一 个 指示 反面 。 这 些 消 息 中 包含 有 某 个 唯一 
的 随机 串 , 以 便 以 后 能 够 验证 其 在 协议 中 的 真实 性 。A 用 她 的 公开 密 钥 将 两 个 消息 加 
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密 , 并 以 随机 的 顺序 把 他 们 发 给 BBN : 
Ea (Mı), Ea (M2) > B 
(3) B 由 于 不 能 读 懂 其 中 任意 一 个 消息 ,他 随机 地 选择 一 个 MC(M 是 Mi 或 Ms ) 。 再 
用 他 的 公开 密 钥 加 密 并 回 送 给 A, 即 : 
Es(EA(M)— A 
(4) A 由 于 不 能 读 懂 送 回 给 她 的 消息 ,就 用 她 的 私 钥 解 密 并 回 送 给 B, 即 : 
Da (Es (Ea (M))) = EsCM ) ， 


如 果 
M 一 Mi ; 
或 
DA(CEs(EACM))) = Eg(M2), 
如 果 


M = M, 

(5) B 用 他 的 私 钥 解密 消息 ,得 到 抛 币 结果 。 他 将 解密 后 的 消息 送 给 A: 
Ds(Es(M1)) = M; > A; 3 Dg(Eg(M,)) = M; > A 

(6) A 读 抛 币 结果 ,并 验证 随机 串 的 正确 性 。 

(7) A 和 B 出 示 他 们 的 密 钥 对 以 便 双方 能 验证 对 方 没 有 欺诈 。 

该 协议 过 程 如 图 5-16 所 示 。 


A B 
产生 一 个 公开 / ; ; 
EPO 产生 一 个 公开 / 
私有 密 钥 对 私有 密 钥 对 
A1,A2 
| in oe 、 
-o 利用 其 公 KBi.e2 
分 别 产生 指示 正 |_ | po 
面 和 反面 的 两 个 i | ee EM 


消息 ,并 包含 一 ai a) | HH ae By 
“hatin | 到]! | sta TRAE Mya. 
Ea(M2), 并 发 送 给 A 


Ep(EA(M)) 


用 私 钥 解 密 回 送 的 
消息 Ee(EA(M)) Es(M) 
并 再 次 发 送 给 B 一 | 用 私 钥 Ke 解密 

| | 该 消息 得 到 抛 币 


结果 并 发 送 给 A 
读 抛 币 结果 ,并 


验证 随机 串 
将 密 钥 对 发 送 给 B， KALA2 | 将 密 钥 对 发 送 给 B， 
并 接收 B 传 来 的 密 并 接收 B 传 来 的 密 
钥 对 ,验证 协议 过 Ls KBleB> 钥 对 ,验证 协议 过 
程 无 欺诈 程 无 欺诈 


图 5-16 采用 公开 密 钥 密 码 的 抛 币 协议 
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这 个 协议 是 自我 实施 的 。 任 意 一 方 都 能 即时 检测 对 方 是 否 有 欺诈 行为 ,不 需要 可 信 
的 第 三 方 介入 实际 的 协议 和 协议 完成 后 的 任何 仲裁 。 下 面 考虑 有 欺诈 的 情形 ,看 看 协议 
是 如 何 工 作 的 。 

如 果 A 想 欺 骗 ,强制 为 正面 ,她 有 3 种 可 能 的 方法 影响 结果 。 

第 一 种 方法 : 她 可 以 在 步骤 (2) 中 加 密 两 个 “正面 ?的 消息 。 但 在 步骤 (7) 中 A 出 示 她 
的 密 钥 时 ,B 就 可 以 发 现 这 种 欺骗 。 

第 二 种 方法 : A 在 步骤 (4) 时 用 一 些 其 他 的 密 钥 解密 消息 ,将 产生 一 些 乱七八糟 的 无 
用 信息 ,而 也 可 在 步骤 (5) 中 发 现 。 

第 三 种 方法 : A 在 步骤 (6) 中 和 否认 消息 的 有 效 性 ,但 当 在 步骤 (7) 中 A 不 能 证 明 消 息 
无 效 时 ,B 就 可 以 发 现 。 

当然 ,A 可 以 在 任何 一 步 拒绝 参与 协议 ,那样 ,A 欺骗 了 的 企图 就 显而易见 了 。 

如 果 B 想 欺 骗 并 强制 为 “反面 ", 他 的 选择 有 以 下 几 种 。 

(1) B 可 以 在 步骤 (3) 中 不 正确 地 加 密 一 个 消息 ,但 A 在 步骤 (6) 查 看 最 终 消 息 时 就 
可 以 发 现 它 。 

(2) B 可 以 在 步骤 (5) 中 进行 不 适当 的 操作 ,但 这 也 会 导致 乱七八糟 的 无 用 信息 ,人 A 
可 在 步骤 (6) 中 发 现 。 

(3) B 可 以 声称 由 于 A 方 的 欺诈 使 他 不 能 适当 地 完成 步骤 (5) 的 操作 ,但 这 种 形式 的 
欺诈 能 在 步骤 (7) 中 发 现 。 

(4) 也 可 能 在 步骤 (5) 中 给 A 一 个 “反面 ”的 信息 .而 不 管 他 解密 获得 的 信息 是 什么 ， 
但 A 能 在 步骤 (6) 中 立即 检查 消息 的 真实 性 。 


5.3.10.3 抛 币 的 应 用 一 一 会 话 密 钥 生成 


抛 币 协议 的 一 种 实际 应 用 是 会 话 密 钥 生成 。 
掷 币 协议 可 以 让 A 和 B 产生 随机 会 话 密 钥 ,而 且 双 方 都 不 能 影响 密 钥 生 成 的 结 
假定 A 和 了 加密 他 们 交换 的 密 钥 , 则 这 种 密 钥 生成 方法 在 存在 穷 听 时 也 是 安全 的 。 


5.3.11 单 向 累加 器 


假设 A 是 某 公司 的 成 员 。 有 了 时候. 她 必须 在 光线 暗淡 的 旅馆 与 其 他 成 员 会 晤 。 由 于 
旅馆 的 光线 非常 瞳 , 以 至 于 她 难以 知道 桌子 对 面 的 人 是 否 也 是 他 们 的 成 员 。 

该 公司 可 以 选择 几 种 解决 方案 。 每 个 成 员 可 以 携带 一 个 成 员 名 单 , 但 这 有 两 个 问 
题 : 一 是 现在 每 人 必须 携带 一 个 大 的 数据 库 , 二 是 他 们 必须 很 好 地 保护 成 员 名 单 。 另 
一 种 选择 是 ,通过 一 个 值得 信任 的 秘书 发 布 数字 签名 的 身份 卡 。 这 样 做 增加 了 让 外 来 
者 验证 成 员 的 好 处 。 但 是 它 需 要 可 信任 的 秘书 ,在 该 公司 没有 人 能 够 被 信任 到 那 种 
程度 。 

新 的 解决 方案 是 使 用 叫做 “ 单 向 累加 器 ”的 东西 。 除 了 可 交换 外 , 它 类 似 单 向 Hash 
算法 。 也 就 是 说 ,用 任何 顺序 对 成 员 数 据 库 进 行 Hash 运算 ,都 可 以 得 到 相同 的 值 。 而 
且 , 把 新 成 员 进行 Hash 运算 ,得 到 的 新 Hash 值 ,也 是 与 顺序 无 关 的 。 

假定 n 是 两 个 素数 的 乘积 ,与 x 一 起 是 事先 约定 的 , 则 一 种 单 向 累加 器 函数 如 下 : 
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A(xisy) = xl mod n 
成 员 yi ,yz ,ys 的 累加 是 : 
(Cx! mod n)x? mod n)x” mod n 

这 个 计算 的 结果 与 m ,yz ,ys 的 顺序 无 关 。 

下 面 是 A 要 做 的 事情 。 她 计算 除 她 自己 外 的 每 个 成 员 名 字 的 累加 和 。 然 后 ,她 把 这 
个 值 与 她 的 名 字 存 在 一 起 。B 和 其 他 每 个 成 员 都 做 和 A 类 似 的 事 。 

现在 , 当 A 和 B 在 光线 上 暗淡 的 旅馆 会 面 时 ,他 们 简单 的 互相 交换 累加 值 和 名 字 ,A 确 
U B 的 名 字 加 上 他 的 累加 值 等 于 A 的 名 字 加 上 她 的 累加 值 。B 也 确认 同样 的 事情 。 现 
在 他 们 两 人 知道 彼此 是 公司 成 员 。 同 时 ,没有 人 能 够 知道 任何 其 他 人 的 身份 。 

甚至 更 好 , 非 会 员 能 知道 每 个 人 的 累加 值 。 现 在 A 能 够 对 非 会 员 验 证 他 的 会 员 资 格 
(也 许 ,在 他 们 的 本 地 反 间 谍 商 店 为 会 员 打 折 ), 非 会 员 不 可 能 计算 出 全 部 会 员 资格 的 
名 单 。 

只 要 到 处 发 送 新 会 员 的 名 字 就 可 把 新 会 员 加 入 到 累加 值 中 。 不 幸 的 是 ,删除 会 员 世 
唯一 方法 是 给 每 个 会 员 发 送 新 名 单 并 让 他 们 重新 计算 他 们 的 累加 值 。 eat 
职 , 该 公司 就 需要 那样 做 ; 而 死亡 的 会 员 可 以 保留 在 名 单 上 。 

在 没有 集中 签名 者 的 情况 下 ,无 论 什 么 时 候 想 要 与 数字 签名 有 同样 的 效果 时 这 是 一 
个 很 好 的 想法 ,并 且 已 获得 应 用 。 


5.3.12 秘密 的 全 泄露 或 无 泄露 


假设 A 是 前 苏联 的 前 代理 商 , 现 在 失业 了 。A 为 了 挣 钱 , 便 出 卖 机 密 , 任 何 愿意 付 钱 
的 人 都 可 以 买 秘密 。A 罗列 一 个 目录 ,所 有 秘密 都 编号 列 出 ,并 加 上 一 个 非常 撩 人 的 标 
题 , 例 如 :“ 谁 在 秘密 控制 着 三 方 委员 会 ?”“ 为 什么 鲍 里 斯 * 叶利钦 总 是 看 上 去 像 知 了 一 
只 活 青 蛙 ?” 等 。 

A 不 愿 为 一 个 秘密 的 价格 而 泄露 两 个 秘密 ,或 者 泄露 秘密 的 任何 一 部 分 信息 。B 是 
一 个 潜在 的 买主 ,他 不 想 为 价值 不 高 的 秘密 付 钱 , 他 也 不 想 告诉 A 他 想 要 哪个 秘密 。A 
可 能 在 她 的 目录 中 加 上 “B 对 什么 感 兴趣 ”这 一 条 。 

在 这 种 情况 下 ,A 和 也 最 后 必须 互相 摊牌 。 当 然 ,;B 也 可 以 进行 欺骗 从 而 获得 不 止 一 
个 秘密 。 

这 个 解决 方案 就 叫做 秘密 的 全 或 无 泄露 (all or nothing disclosure of secret, 
ANDOS)。 因 为 ,一 旦 B 得 到 了 不 管 是 A 的 秘密 中 哪 一 个 信息 ,他 就 失去 了 获知 任何 其 
他 秘密 的 机 会 。 协 议 如 下 : 

首先 ,定义 FBI(fixed bit index): 两 个 字符 x.y 的 FBI x 的 第 i 位 等 于 y 的 第 i 位 
的 那些 位 ,从 右 到 左 计 ,起 始 为 0, 例 如 : 

x = 110101001011 
y = 101010000110 
FBI(x,y) = {1,4;5,11} 

假定 A 是 卖方 ,B 和 C 是 买方 。A 有 kk 个 nn 位 的 秘密 : Si,S,…,S。B 想 买 秘密 

Ss,C 想 买 秘密 S.o 
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(1) A 产生 一 对 公开 / 密 钥 对 ,并 把 公开 密 钥 告诉 B, 但 不 告诉 C; 然后 再 产生 另 一 对 
公开 / 密 钥 对 ,并 把 公开 密 钥 告诉 C, 但 不 告诉 Bo 
(2) B 产生 k 个 n 位 随机 数 Bi By +++ By 并 把 结果 告诉 C; C 产生 kk 个 n 位 随机 数 
Cy Coos Cy ,并 把 结果 告诉 B。 
(3) B 用 从 A 得 到 的 公开 密 钥 加 密 Cs ,计算 Cy, 和 加 密 结果 的 FBI, 并 把 FBI 发 给 Co 
CHMA A 得 到 的 公开 密 钥 加 密 B. ,计算 B. 和 加 密 结果 的 FBI, 并 把 FBI 发 给 B。 
(4) B 对 nn 位 数 B, Boste Be 中 的 每 一 个 数 , 凡 是 其 索引 不 在 他 从 C 处 接收 到 的 
FBI 中 出 现 的 每 一 位 ,都 用 其 代替 ,得 到 Bi ,Bz ,… ,Bx ,并 把 它们 发 给 A. 
C Xf n PŽ Ci Co eee Cy 中 的 每 一 个 数 , 凡 是 其 索引 不 在 他 从 B 处 接收 到 的 FBI 中 
出 现 的 每 一 位 ,都 用 其 代替 ,得 到 Ci ,Cs,… ,Cr ,并 把 它们 发 给 A. 
(5) A 用 B 的 密 钥 解 密 Cl, 得 到 上 个 n 位 数 CY ,C2 ,…,Ck ,计算 SC (Ci 一 1,2,…， 
k) ,并 把 结果 发 给 B。A 用 C 的 密 钥 解密 Bi ,得 到 kk 个 n 位 数 BY. BY. +++. By ,计算 SOB, 
(i 二 1,2,…,k) ,并 把 结果 发 给 C。 
(6) B 通 过 将 Ce 与 从 A 处 接收 到 的 第 b 个 数 异 或 ,计算 出 SL; C 通过 将 Be 与 从 A 
处 接收 到 的 第 c 个 数 异 或 ,计算 出 S.。 
举例 如 下 : 
A 有 8 个 秘密 要 出 售 : Sı =1990 , S: =471 , S; =3860,S, = 1487.8; =2235,S,= 3751, 
S, =2546,S,=4043,B Æ S, ,C 想 买 Sz. 
(1) A 使 用 RSA 算法 ,她 与 B 一 起 使 用 的 密 钥 对 是 : n 一 7387,e 一 5145,d 一 777; 与 
C 一 起 使 用 的 密 钥 对 是 : n 王 2747,e 王 1421,d 一 2261, 并 把 公开 密 钥 分 别 告诉 B 和 Co 
(2) B 产 生 8 个 12 位 的 随机 数 : Bı =743.B, =1988.B; =4001,B, =2942,B; =3421, 
Be 一 2210,B; 一 2306,Bes 一 222; 并 把 它们 告诉 C。 
C)=1708 C =711;C=1969; C, = 3112 |G; = 4014 Cy = 2308 C= 2212 C = 222 
并 把 它们 告诉 B。 
(3) B 想 买 S; ,所 以 用 A 给 他 的 公开 密 钥 加 密 Ca 
C$ mod n = 2212545 mod 7387 = 5928 
C, = 2212 = 0100010100100 
C$ mod n = 5928 = 1011100101000 
FBIC C7.C$ mod n ) = {0.1.4.5.6} 
B 把 这 个 FBI 发 给 C。 
CHK 5S;, 所 以 用 A 给 他 的 公开 密 钥 加 密 Bz ,计算 Bs 与 加 密 结果 的 FBI.,{0,1,2,6， 
9,10} 发 给 Bo 
(4) BE Bi ,B:,…,Br ,对 索引 不 在 集合 (0,1,2,6,9,10} 中 的 每 一 个 位 用 其 代替 ， 
例如 


Bz = 1988 = 111 111 000100 
Bz = 1660 = 011001111100 

也 将 Bi ,Bi ,… BRA A。 

CHC, ,Cs ,… ,Cs ,对 索引 不 在 集合 {0,1,4,5,6} 中 的 每 一 个 位 用 其 代替 ,例如 
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C, = 2212 = 010001010 0100 
C’, = 5928 = 1011100101000 
C 将 CC 人 ,CS 发 给 A。 


(5) A 用 B 的 秘密 密 钥 来 解 所 有 的 Ci ,并 把 该 结 
5928” mod 3787 = 22122546 ® 2212 = 342 
该 结果 发 给 B。 
A FA C 的 秘密 密 钥 来 解 所 有 的 Bi ,并 把 该 结 
1660? mod 2747 = 1988417 ® 1988 = 1555 
该 结果 发 给 C。 
(6) BAA Cr 与 从 A 接收 到 的 第 7 个 数 相 异 或 ,得 到 S;: 
2212 @ 342 = 2546 
CHB SM A 接收 到 的 第 2 个 数 相 异 或 ,得 到 S: 
1988 ® 1555 = 471 


该 协议 对 任意 数目 的 买主 都 可 以 使 用 。 如 果 B,CD 3 人 想 买 秘密 , 则 给 每 一 个 买主 


RSS, 相 异 或 ,例如 ,i 二 7 时 : 


果 与 Si 相 异 或 ,例如 ,i 二 2 时 : 


两 个 公开 密 钥 ,分 别 用 于 另外 两 个 人 ,每 一 个 买主 可 以 从 另外 的 买主 那儿 得 到 一 组 数 , 然 
后 与 A 一 起 对 每 一 组 数 完成 该 协议 ,并 将 其 与 来 自 A 的 最 终结 果 相 异 或 ,就 得 到 他 们 要 
的 秘密 。 
但 是 ,两 个 不 诚实 的 参与 者 可 以 合谋 进行 欺骗 。 例 如 A 和 C 合谋 很 容易 知道 B 想 要 
的 是 什么 秘密 。 
该 协议 如 图 5-17 所 示 。 
A 
产生 公开 / 密 
Pere eee 
TEABE 
随机 数 进行 解密 
Bf 
Ke 异 或 5; 与 BY 
的 值 发 送 回 B 
Mee] [产生 公开 / 密 钥 对 
Kec 并 将 公开 检查 其 随机 数 
密 钥 只 发 送 给 C 的 索引 是 否 在 将 接收 到 的 
的 | | 收 到 的 FBI 第 b 个 数 与 B。 
将 从 C 处 得 到 的 pans 进行 异 或 得 
= 2 人 = 


异 或 Si 与 Cf 


的 值 发 送 回 C 
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5.3.13 密 钥 托管 


有 时 ,可 能 需要 将 密 钥 (或 对 密 钥 的 间接 访问 ) 交 给 那些 不 直接 参与 安全 通信 的 人 。 

下 面 这 段 话 摘自 Silvio Micali 的 专题 介绍 : 

当前 ,法 院 授权 许可 的 搭 线 窃听 是 防止 犯罪 并 将 罪犯 强 之 以 法 的 有 效 方法 。 更 重要 
的 是 , 照 我 们 的 观点 ,通过 阻止 对 正常 网 络 通信 的 非法 使 用 也 防止 了 犯罪 的 进一步 扩散 。 
因此 ,法 律 上 比较 关心 的 是 ,公开 密码 学 的 广泛 应 用 可 能 对 犯罪 和 恺 怖 组 织 有 很 大 帮助 。 
实际 上 ,很 多 议案 提议 : 一 个 适当 的 政府 机 关 , 在 法 律 允 许 的 情况 下 .应当 可 以 获得 任何 
通过 公共 网 络 进行 通信 的 明文 。 目 前 ,这 个 要 求 可 能 意味 着 强迫 市 民 : 

(1) 使 用 弱 的 密码 系统 , 即 有 关 当 局 (当然 也 可 以 是 任何 其 他 的 人 ) 经 过 一 定 的 努力 
可 以 破 开 的 密码 体制 。 

(2) 事先 把 他 们 的 密 钥 交 给 当局 。 这 种 蔡 代 方法 会 从 法 律 上 提醒 许多 有 关 的 市 民 ， 
让 他 们 觉得 国家 安全 和 法 律 强 制 应 在 隐私 之 上 的 话 , 这 并 不 令 人 惊奇 。 

密 钥 托管 (keye scrow) 是 美国 政府 的 Clipper 计划 和 它 的 托管 加 密 标 准 的 核心 。 这 
里 ,面临 的 挑战 是 开发 一 个 密码 系统 ,要 保护 个 人 隐私 但 同时 又 要 允许 法 院 授 权 的 搭 线 
窃听 。 

托管 加 密 标 准 通过 防 自 改 的 硬件 来 实现 安全 性 。 每 个 加 密 芯 片 有 一 个 唯一 的 ID 号 
和 密 钥 , 密 钥 被 分 为 两 部 分 ,并 与 ID 号 一 起 由 两 个 不 同 的 托管 机 构 存 储 。 芯 片 每 次 加 密 
数据 文件 , 它 首 先 用 唯一 的 密 钥 加 密会 话 密 钥 ,然后 通过 通信 信道 发 送 加 密 的 会 话 密 钥 和 
它 的 ID 号 。 当 一 些 法 律 执行 机 构想 用 这 些 芯片 中 的 一 个 解密 加 密 的 信息 流 时 , 它 监 听 
ID 号 ,从 托管 机 关 收 集 适 当 的 密 钥 ,把 它们 异 或 起 来 ,解密 会 话 密 钥 ,然后 使 用 会 话 密 钥 
解密 信息 流 。 面 对 欺诈 者 ,为 了 使 这 个 方案 可 行 , 它 可 能 更 复杂 。 同 样 的 事情 能 够 用 软件 
实现 ,也 可 用 公开 密 钥 密码 实现 。 

Micali 称 自己 的 思想 为 公平 密码 系统 ( 据 传 美国 政府 在 其 托管 加 密 标 准 中 为 了 使 用 
他 的 专利 花 了 1 百 万 美元 。 然 后 .Banker's Trust 购买 了 Micali 的 专利 )。 在 这 些 密 码 系 
统 中 , 私 钥 分 成 许多 部 分 ,发 给 不 同 机 构 。 类 似 秘密 共享 方案 ,这 些 机 构 可 集中 到 一 起 并 
重新 构造 私 钥 。 但 是 ,这 些 密 钥 碎 片 具有 一 种 附加 的 性 质 : 无 需 重新 构造 私 钥 , 便 能 分 别 
验证 这 些 密 钥 碎片 是 否 正确 。 

A 可 以 产生 自己 的 私 钥 并 给 几 个 托管 人 每 人 一 部 分 密 钥 。 这 些 托管 人 中 没有 人 能 
恢复 出 A 的 私 钥 。 然 而 ,所 有 这 些 托管 人 都 能 验证 他 们 的 那 一 部 分 是 私 钥 的 有 效 部 分 ,A 
不 可 能 送 给 一 个 托管 人 随机 比特 串 ,并 希望 他 带 着 逃跑 了 。 如 果 法 院 授权 搭 线 窃 听 ,有关 
法 律 执 行 机 构 可 以 遵照 法 庭 的 命令 让 n 个 托管 人 交 出 他 们 的 那 一 部 分 密 铀 。 用 所 有 这 n 
部 分 ,执行 机 构 重新 构造 出 私 钥 ,并 能 够 对 A 的 通信 线路 进行 搭 线 窃听 。 另 一 方面 ,M 为 
了 能 重新 构造 出 A 的 密 钥 并 侵犯 她 的 隐私 ,将 不 得 不 破坏 所 有 n 个 托管 人 。 

协议 执行 的 过 程 如 下 : 

(1) A 产 生出 自己 的 私 钥 / 公 钥 密 钥 对 ,把 私 钥 分 成 几 个 公开 和 秘密 部 分 。 

(2) A 送 给 每 个 托管 人 一 个 公开 的 部 分 及 对 应 的 秘密 部 分 。 这 些 消息 必须 加 密 。 她 
也 把 公开 密 钥 送 给 KDC( 密 钥 分 配 中 心 ) 。 
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(3) 每 个 托管 人 独立 完成 计算 以 确认 所 得 到 的 公开 部 分 和 秘密 部 分 都 是 正确 的 。 每 
个 托管 人 将 秘密 部 分 存放 在 安全 的 地 方 并 把 公开 部 分 发 送 给 KDC., 

(A) KDC 对 公开 部 分 和 公开 密 钥 执行 另 一 种 计算 。 假 设 每 一 件 事 都 是 正确 的 ,KDC 
在 公开 密 钥 上 签名 ,然后 把 它 送 回 给 A 或 把 它 邮 寄 给 某 处 的 数据 库 。 

该 协议 执行 过 程 如 图 5-18 所 示 。 


A 
计算 并 确认 
as rear | Lea t 
/ ` 正确 性 ， 并 秘 
产生 公 钢 | ! [a]; Koe “| | 保存 秘密 部 网 
私 钥 密 钥 对 | i wt 分 和 将 公开 
Ku Kaz» l Le] | P 将 公 钥 和 收 部 分 发 送 给 1 
并 将 私 钥 分 | 人/ poo 签名 /到 的 部 分 进行 计 KDC 
为 几 个 公开 人 ! ”加 密 | 算 ， 在 正确 的 情况 公 
和 秘密 部 分 i 下 对 公 钥 进行 签名 7 
发 送 给 托管 | INE | | 并 发 送 给 A 或 六 -一 
人 ， 将 公 钥 | 1 BIT 据 库 保存 
发 送 给 KDC l f it AJEN i 
| rise. IE t 
和 Les 部 上 
签名 的 Ka 分 和 将 公开 | 人 
部 分 发 送 给 [AR k 
| 1 | KDC 一 


图 5-18 密 钥 托管 


如 果 法 庭 要 求 进行 搭 线 窃听 .那么 每 个 托管 人 就 把 他 或 她 的 那 部 分 交 给 KDC. KDC 
能 重新 构造 出 私 钥 。 在 交 出 密 钥 前 ,无 论 是 KDC 还 是 任何 一 个 托管 人 都 不 能 重新 构造 
出 私 钥 , 所 有 托管 人 一 起 才能 重新 构造 出 这 个 密 钥 。 

用 这 种 方式 能 把 任何 公开 密 钥 密码 算法 都 做 成 是 公正 的 。Micali 讨论 了 把 门限 方案 
与 这 个 协议 结合 起 来 的 办 法 ,使 得 只 需要 托管 人 的 一 个 子 集 (例如 ,5 个 中 的 3 个 ) 便 能 
新 构造 出 私 钥 。 他 又 讲述 了 怎样 将 不 经 意 传输 与 这 个 协议 结合 起 来 ,使 得 托管 人 不 知道 
是 谁 的 私 钥 正 在 被 重新 构造 。 

公平 密码 系统 不 是 完美 的 ,罪犯 可 以 利用 这 个 系统 ,使 用 隐蔽 信道 把 另 一 个 密 钥 府 人 
到 自己 的 那 部 分 中 。 采 用 这 种 方法 ,使 用 隐蔽 密 钥 ,不 用 担心 法 院 授权 的 搭 线 穷 听 ,他 就 
能 够 安全 地 与 其 他 人 通信 。 


5.3.13.1 密 钥 托管 的 政治 问题 


除了 政府 的 密 钥 托管 计划 外 , 几 个 商业 密 钥 托管 正在 付 诸 实施 。 这 样 就 出 现 了 一 些 
问题 : 对 用 户 来 说 , 密 钥 托管 的 好 处 是 什么 ? 

实际 上 没有 任何 好 处 ,用户 不 能 从 密 钥 托管 得 到 任何 东西 。 如 果 他 愿意 ,他 可 以 备份 
他 的 密 钥 。 密 钥 托管 保证 : 即使 使 用 加 密 ,警察 也 能 够 窃听 他 的 谈话 或 阅读 他 的 数据 文 
件 ; 即使 使 用 加 密 ,NSA 不 经 批准 也 能 够 窃听 他 的 国际 电话 。 也 许 , 他 将 被 允许 在 现在 
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反对 密 钥 托管 的 国家 使 用 密码 ,这 似乎 是 唯一 的 好 处 。 

密 钥 托管 有 相当 大 的 缺陷 。 用 户 不 得 不 相信 托管 机 构 的 安全 性 程序 ,以 及 参与 人 的 
诚实 。 他 不 得 不 相信 托管 机 构 没 有 改变 他 们 的 策略 ,政府 没有 改变 他 的 法 律 ,那些 得 到 密 
钥 的 执法 机 构 和 托管 机 构 会 合法 地 和 负责 地 做 事 。 设 想 一 个 大 丽人 怖 分 子 袭 击 纽约 时 ,对 
警察 来 说 ,还 有 什么 样 的 限制 不 能 抛 到 一 边 呢 ? 

难于 想像 托管 加 密 方案 工作 会 像 他 们 的 发 起 人 设想 的 那样 没有 一 些 法 律 的 压力 。 很 
明显 的 ,下 一 步 是 禁止 使 用 非 托管 加 密 , 这 可 能 是 使 商业 系统 付费 的 唯一 办 法 ,并 且 它 肯 
定 是 使 技术 上 富有 经 验 的 罪犯 和 恐怖 分 子 使 用 它 的 唯一 方法 。 不 清楚 要 使 非 托管 密码 成 
为 非法 将 会 遇 到 什么 阻力 ,或 它 怎 么 影响 作为 研究 学 科 的 密码 学 。 


5.3.13.2 密 钥 托管 的 法 律 问题 


如 果 有 加 密 数据 被 破 开 ,托管 密 钥 如 何 影响 用 户 的 责任 ? 如 果 美 国政 府 试图 保护 托 
管 结构 ,是 不 是 有 隐 含 的 假设 ,在 用 户 或 托管 机 构 都 会 危及 到 秘密 的 安全 时 ,泄密 的 一 定 
是 用 户 吗 ? 

对 于 政府 或 商业 性 的 密 钥 托管 服务 而 言 , 它 的 整个 托管 密 钥 数据 库 被 偷盗 了 会 怎么 
PE? 如 果 美 国政 府 试图 对 它 保 持 一 段 时 间 的 沉默 又 会 怎么 样 呢 ? 很 清楚 ,这 会 对 使 用 密 
钥 托管 的 用 户 愿望 产生 影响 ,如果 不 是 自愿 的 ,这 样 的 一 些 丑 闻 又 将 增加 政治 压力 ,迫使 
政府 要 么 让 其 成 为 自愿 ,要 么 增加 复杂 的 新 规定 。 

更 为 危险 的 是 现 政府 的 政治 对 手 、 对 某 些 情报 或 警察 机 构 坦 率直 言 的 批评 家 已 经 被 
监视 多 年 的 丑闻 会 公 诸 于 世 。 这 可 能 引起 公众 强烈 反对 托管 加 密 的 情绪 。 

如 果 签 名 密 钥 和 加 密 密 钥 一 样 被 托管 .存在 更 多 问题 。 当 局 使 用 签名 密 钥 执行 操作 
反对 可 疑 罪犯 能 否 被 接受 ? 基于 托管 密 钥 签名 的 真实 性 在 法 庭 上 是 否 会 被 接受 ? 


5.3.13.3 密 钥 托管 的 其 他 问题 


密码 的 全 球 化 导致 了 另外 一 些 问 题 . 密 钥 托 管 的 政策 在 其 他 国家 将 会 一 致 吗 ?” 跨国 
公司 为 了 保持 与 各 种 地 方法 律 一 致 :他 们 必须 在 每 个 国家 保持 单独 的 托管 密 钥 吗 ? 如 果 
没有 某 种 一 致 性 , 密 钥 托管 方案 的 好 处 之 一 (强加 密 的 国际 化 使 用 ) 必 将 崩溃 。 

如 果 有 些 国家 根本 不 接受 托管 机 构 的 安全 性 会 怎么 样 呢 ? 用 户 在 那里 怎么 做 生意 
呢 ? 他 们 的 数字 化 合同 能 得 到 当地 法 院 的 支持 吗 ? 或 者 他 们 的 签名 密 钥 托管 在 美国 的 事 
实 会 允许 他 们 在 瑞士 声称 别人 也 可 能 签署 他 的 电子 合同 吗 ? 在 这 些 国家 做 生意 的 人 是 否 
有 特殊 的 弃权 呢 ? 

工业 间谍 又 会 怎么 样 呢 ? 没有 理由 相信 那些 目前 正在 为 其 重要 的 或 政府 性 质 的 公司 
从 事 间 谍 活 动 的 国家 会 放弃 在 密 钥 托管 加 密 系统 上 做 手脚 。 的 确 , 由 于 没有 哪个 国家 会 
允许 其 他 国家 监视 自己 的 情报 工作 .所 以 .托管 加 密 的 广泛 使 用 必 将 可 能 增加 搭 线 窃听 的 
盛行 。 

即使 具有 良好 公民 权 记 录 的 国家 ,其 使 用 密 钥 托管 只 是 为 了 合法 追踪 罪犯 和 恐怖 分 
子 ,但 它 肯 定 也 用 于 别 的 地 方 以 跟踪 异己 分 子 、 有 项 诈 勒 索 倾 向 的 政敌 等 。 数 字 通 信和 在 监 
视 公 民 的 行动 ,意见 `, 购 买 和 集会 等 一 整套 工作 上 提供 的 机 会 比 模拟 世界 可 能 提供 的 机 会 
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大 得 多 。 


5.4 本 章 重点 和 难点 


本 章 重点 是 安全 协议 的 设计 和 分 析 方 法 ,设计 抗 攻击 的 协议 所 使 用 的 技术 手段 。 

本 科 讲 授时 ,建议 课堂 讲授 对 协议 的 典型 攻击 (5. 1. 1 节 )、 对 协议 的 安全 性 分 析 
(5.1.2 节 )、 安 全 协议 的 缺陷 (5.1.3 节 )、 安 全 协议 的 设计 原则 (5. 1.5 节 )、 中 间 人 攻击 
(5.2.1 节 )、 阻 止 中 间 人 攻击 的 连锁 协议 (5. 2. 2 节 ); 研究 生 教学 适当 增加 安全 协议 的 形 
式 化 分 析 (5. 1. 4 节 )。 其 余 各 节 可 以 自学 。 


习题 与 思考 题 


1. 对 协议 的 典型 攻击 有 哪 几 种 ? 试 分 别 举例 说 明 。 

2. 协议 存在 哪些 安全 缺陷 ? 

3. 阐述 协议 形式 化 分 析 的 基本 途径 。 

4. 安全 协议 的 设计 有 哪些 原则 ? 

5. 除了 中 间 人 攻击 外 ,常见 的 还 有 哪些 攻击 类 型 是 针对 密 钥 交 换 协议 的 ? 

6. 时 间 戳 用 于 何 种 情况 ? 

7. 链接 协议 用 来 解决 什么 问题 ,存在 什么 问题 ? 试 设 计 一 种 协议 解决 链接 协议 的 


8. 试 描述 隐 菩 信道 的 通信 过 程 , 存 在 的 问题 ,并 设计 解决 方案 。 
9. 指出 现实 中 可 能 的 隐蔽 信道 。 

10. 试 设计 一 个 隐蔽 信道 传输 协议 ,并 分 析 它 的 安全 性 。 

11. 设计 并 分 析 一 个 抗 抵赖 的 数字 签名 。 

12. 举例 说 明代 理 签名 。 

13. 试 述 密 钥 托 管 所 带 来 的 一 些 社会 问题 。 


第 6 章 ”实际 使 用 的 安全 协议 


本 章 介 绍 在 网 络 应 nee ee 些 安全 协议 。 

本 章 共 有 七 个 小 节 : 第 6. 1 节 首 先 介 绍 现实 网 络 协议 需要 考虑 的 因素 ; 第 6. 2 节 介 

一 次 性 登录 技术 ; 第 6. 3 节 介绍 电子 支付 协议 ; 第 6. 4 节 介 绍 公 钥 基础 设施 ; 第 6.5 
ne 第 6.6 节 介 绍 VPN 技术 ; 第 6.7 节 是 本 章 重点 和 难点 分 析 。 


61 现实 协议 需要 考虑 的 因素 


前 面 各 章 的 协议 ,描述 的 是 一 个 理想 的 状态 ,而 在 实际 应 用 中 ,一 些 理论 上 不 错 的 方 
案 却 在 实际 中 无 法 实现 ,主要 有 3 个 方面 的 原因 , 即 : 计算 环境 相关 的 问题 ,组 织 结构 的 
问题 和 电子 身份 认证 方法 的 问题 


6.1.1 与 计算 环境 相关 的 问题 


当前 ,计算 机 环境 的 主要 问题 是 很 少 有 系统 在 进行 安全 设计 的 时 候 参 考 了 那些 普遍 
通用 的 认证 方法 。 所 以 , 当 新 的 系统 实现 了 自己 的 认证 和 访问 控制 后 ,与 日 的 认证 和 访问 
控制 机 制 基 本 上 就 无 什么 互 操作 性 可 言 。 

另 一 方面 ,在 所 有 安全 解决 方案 中 ,信任 ”是 主要 元 素 。 但 是 ,当前 的 计算 机 系统 不 
能 被 信任 。 它 们 要 么 存在 严重 安全 漏洞 和 错误 ,要 么 不 能 经 受 恶 意 攻击 。 在 这 些 不 可 靠 
的 部 件 上 运行 安全 软件 ,构筑 安全 平台 ,是 一 个 挑战 。 

第 三 个 问题 是 系统 管理 员 往 往 对 复杂 的 网 络 环境 中 所 有 服务 和 配置 缺乏 足够 认识 。 


访问 授权 的 规则 需要 规定 哪些 资源 是 个 体 用 户 可 以 或 不 能 访问 的 。 为 了 简化 ,用 户 
中 类 似 的 需要 和 权利 划分 成 组 。 管 理 不 同 组 的 用 户 是 件 费力 的 事情 ,如 果 用 户 转移 到 别 
的 部 门 ,那么 他 的 访问 控制 权限 也 应 得 到 及 时 反映 。 尤 其 在 一 些 基于 小 组 进行 活动 的 组 
织 中 ,工作 上 的 频繁 变动 时 有 发 生 。 但 是 .部 门 中 组 与 组 间 的 界定 ,往往 是 模糊 的 。 

而 当 有 组 织 结构 上 的 模糊 与 计算 机 环境 的 繁复 相 结 合 时 ,结果 是 显然 的 。 系 统 安 全 
主管 必须 应 付 一 个 异常 复杂 的 情况 。 


6.1.3 与 电子 身份 相关 的 问题 


登录 到 一 个 系统 的 基础 是 电子 身份 认证 。 基 本 上 每 种 解决 方案 都 有 一 些 利 浴 。 
传统 方式 也 是 运用 最 为 广泛 的 基于 口令 的 认证 , 即 password authentication ,这 种 方 
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式 的 弱点 是 被 猜测 和 监听 。 其 至 有 很 多 口令 被 记 在 笔记 本 上 或 就 在 计算 机 附近 。 

对 于 口令 认证 的 改进 是 一 次 性 口令 。 顾 名 思 义 , 仅 使 用 一 次 性 的 口令 ,可 以 极 大 降低 
监听 带 来 的 危险 。 

电子 身份 也 可 以 基于 智能 卡 或 加 密 算 法 ,例如 RSA。 卡 和 私 钥 将 被 口令 加 密 保护 。 

一 旦 实施 了 安全 认证 ,下 一 个 挑战 就 是 使 每 个 系统 接受 相同 的 电子 身份 ,以 便 为 用 户 
产生 凭证 ,并 且 自 动 把 它们 传递 给 所 有 需要 的 服务 。 这 可 能 是 需要 实现 的 最 艰巨 的 部 分 。 


6.2 ”一 次 性 登录 技术 


一 次 性 登录 技术 (singlesign-on.SSO) ,就 是 通过 用 户 的 一 次 性 认证 登录 ,获得 需 访 问 
系统 和 应 用 软件 的 授权 。 在 此 条 件 下 ,管理 员 无 需 修改 或 干涉 用 户 登 录 就 能 方便 地 实施 
希望 得 到 的 安全 控制 。 这 是 一 个 为 了 能 够 在 分 布 式 计算 机 环境 中 ,安全 和 方便 的 认证 用 
户 而 产生 的 课题 。 

随 着 信息 技术 和 网 络 技术 的 发 展 ,各 种 应 用 服务 的 不 断 普 及 ,用 户 每 天 需要 登录 到 许 
多 不 同 的 信息 系统 ,如 网 络 、 邮 件 、 数 据 库 、 各 种 应 用 服务 器 等 。 每 个 系统 都 要 求 用 户 遵 循 
一 定安 全 策略 ,比如 要 求 输入 用 户 ID( 标 识 符 ) 和 口令 。 随 着 用 户 需 要 登录 系统 的 增多 ， 
出 错 的 可 能 性 就 会 增加 ,受到 非法 截获 和 破坏 的 可 能 性 也 会 增 大 ,安全 性 就 会 相应 降低 。 
而 如 果 用 户 忘记 了 口令 ,不 能 执行 任务 ,就 需要 请 求 管理 员 帮 助 , 并 只 能 在 重新 获得 口令 

之 前 等 待 , 造 成 了 系统 和 安全 管理 资源 的 开销 ,降低 了 工作 效率 。 为 避免 这 种 尴 众 ,牢记 
登录 信息 ,用 户 一 般 会 简化 密码 ,或 者 在 多 个 系统 中 使 用 相同 口令 ,或 者 创建 一 个 口令 “ 列 
表 ”, 这 些 都 是 会 危及 信息 保密 性 的 几 种 习惯 性 做 法 。 

当 这 些 安 全 风险 逐步 反映 出 来 ,管理 员 增 加 一 些 新 安全 措施 的 时 候 , 这 些 措施 却 在 减 
少 系统 的 可 用 性 ,并 且 会 增 大 系统 管理 的 复杂 度 。 

因此 ,在 市 场 上 提出 了 这 样 的 需求 : 网 络 用 户 可 以 基于 最 初 访 问 网 络 时 的 一 次 身份 
验证 ,对 所 有 被 授权 的 网 络 资源 进行 无 颖 的 访问 。 从 而 提高 网 络 用 户 的 工作 效率 ,降低 网 
络 操作 的 费用 ,并 提高 网 络 的 安全 性 。 

一 次 性 登录 技术 有 多 种 解决 方案 .可 分 为 通用 标准 解决 方案 和 实用 化 的 解决 方案 两 
类 。 前 者 包括 通用 安全 服务 应 用 程序 接口 .开放 软件 基金 会 的 分 布 式 计算 环境 、 息 人 式 认 
证 模块 ; 后 者 包括 基于 经 纪 人 的 解决 方案 (包括 Kerberos 协议 、 欧 洲 安全 多 环境 应 用 系 
IBM Krypto Knight 等 )、 基 于 代理 的 解决 方案 、 基 于 口令 的 解决 方案 、 代 理 和 经 纪 人 

结合 的 解决 方案 ,以 及 基于 网 关 的 解决 方案 等 。 
里 只 介绍 通用 标准 解决 方案 。 


6.2.1 通用 安全 服务 应 用 程序 接口 


关于 认证 和 密 钥 分 配 系统 经 常 遇 到 的 一 个 问题 是 ,由 于 它 要 求 对 应 用 系统 本 身 作 出 
改动 ,所 以 经 常 受 到 冷遇 。 考 虑 到 这 一 点 ,对 一 个 认证 和 密 钥 分 配 系 统 来 说 ,提供 一 个 标 
准 化 的 安全 应 用 程序 接口 就 显得 格外 重要 。 能 做 到 这 一 点 ,开发 人 员 就 不 必 再 为 增加 很 
少 的 安全 功能 而 对 整个 应 用 程序 动 大 手术 了 。 因 此 ,认证 系统 设计 领域 内 最 主要 的 进展 
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之 一 就 是 制定 了 标准 化 的 安全 应 用 程序 接口 , 即 通用 安全 服务 应 用 程序 接口 (generic 
security service application program interface,GSS-API) 。 德 州 Austin 大 学 的 研究 者 开 
发 的 安全 网 络 编程 (SNP) ,对 GSS-API 接口 进行 了 进一步 的 封装 ,使 与 网 络 安全 性 相关 
的 编程 更 加 方便 。 

一 个 典型 的 GSS-API 调用 者 是 通信 协议 本 身 ,调用 GSS-API, 用 可 信 性 、 完 整 性 和 机 
密 性 的 安全 服务 来 保护 他 的 通信 (如 图 6-1 所 示 ) ,例如 Kerberos。 这 就 是 GSS-API 可 以 
在 不 同安 全 服务 和 应 用 程序 被 使 用 的 原因 ,包括 SSO。GSS-API 的 目的 是 提供 隐蔽 、 特 
定 的 内 在 安全 机 制 的 一 个 接口 。 这 可 以 帮助 不 同 应 用 程序 之 间 有 更 好 的 互 操作 性 。 


Caller Protocol Caller Protocol 


| 


GSS-API GSS-API 


Mech || Mech | Mech Mech | | Mech || Mech 


图 6-1 GSS-API 


GSS-API 的 设计 假定 并 强调 以 下 几 个 基本 目标 : 

(1) 机 制 独立 : GSS-API 定义 了 一 个 接口 来 使 用 密码 技术 实现 强壮 的 认证 和 其 他 安 
全 服务 一 一 在 独立 于 特定 的 底层 机 制 的 通用 层 上 。 例 如 ,GSS-API 提供 的 服务 可 以 用 密 
钥 技术 实现 (例如 Kerberos) 或 者 使 用 公 钥 技术 实现 (例如 X. 509) 。 

(2) 协议 环境 独立 : GSS-API 独立 于 使 用 它 的 通信 协议 组 .允许 在 多 种 协议 环境 中 
使 用 。 在 进行 调用 的 协议 和 GSS-API 的 应 用 中 ,加 入 一 个 面向 特定 通信 协议 (如 RPC) 
的 中 介 , 可 以 保持 GSS-API 功能 的 启用 和 协议 通信 的 启用 之 间 同 步 。 

(3) 协议 联合 的 独立 : GSS-API 安全 上 下 文 构造 是 独立 于 通信 协议 相关 的 构造 的 。 
这 个 特点 允许 单独 的 GSS-API 实现 可 以 被 多 种 协议 模块 使 用 ,以 利于 调用 这 些 模块 的 应 
用 程序 。 同 时 ,GSS-API 服务 也 可 以 被 应 用 程序 直接 调用 ,完全 独立 于 协议 关联 。 

(4) 适应 多 种 实现 : GSS-API 客户 不 是 被 限制 存在 于 实现 GSS-API 的 系统 定义 的 
TCB(trusted computing base) 范 围 内 ; 安全 服务 以 一 种 既 适 应 Intra-TCB 调用 ,又 适用 
Extra-TCB 调用 的 方式 加 以 说 明 。 

关于 GSS-API 的 更 详细 定义 ,可 以 参看 RFC2025 和 RFC2078。 


6.2.2 开放 软件 基金 会 分 布 式 计算 环境 


开放 软件 基金 会 (OSF) 的 分 布 式 计算 环境 (DCE) 是 一 个 被 广泛 接受 的 解决 方案 ,用 
于 开发 和 部 署 安全 的 、 企 业 级 的 分 布 式 计算 应 用 ,提供 网 络 安全 、 透 明 的 服务 分 配 和 跨 平 
台 通 信 的 能 力 ,允许 在 一 个 异 构 环 境 中 快速 设计 基于 “ 主 / 从 ”或 “对 等 ”结构 的 应 用 。 它 能 
方便 地 对 网 络 提供 最 佳 性 能 和 可 靠 保 护 。 

因为 DCE 是 由 主流 操作 系统 厂商 的 行业 协会 所 支持 的 ,所 以 这 个 标准 在 很 多 计算 
平台 上 都 得 到 了 广泛 支持 。DCE 核心 功能 现在 已 经 被 几乎 所 有 Unix 系统 及 其 变种 所 
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支持 ,并且 ,在 PC 操作 系统 日 益 普及 的 今天 ,DCE 核心 服务 也 在 PC 机 上 变 得 越 来 越 
普遍 。 

DCE 的 认证 管理 服务 是 集成 了 基于 DES 私人 密 钥 加 密 技术 和 MIT 开发 的 
Kerberos 技术 的 身份 验证 。 这 是 一 种 企业 级 的 安全 解决 方案 , 它 使 企业 能 为 网 络 资源 的 
使 用 提供 安全 。 保 护 管理 和 通过 企业 Intranet 的 用 户 和 通过 Internet 的 远程 用 户 都 可 以 
有 控制 地 访问 这 些 资 源 。 

DCE 对 于 安全 涉及 到 4 个 方面 : 

(1) WE (authentication) 。 

(2) 安全 通信 (secure communications) 。 

(3) 授权 Cauthorization ) 。 

(4) 审计 Cauditing) 。 


6.2.3 RARU 


ARUFE (pluggable authentication modules, PAM) ## FH Sun 公司 提出 的 一 
种 用 于 实现 应 用 程序 的 认证 机 制 。 其 核心 是 一 套 共 享 库 , 目 的 是 提供 一 个 框架 和 一 套 编 
程 接口 ,将 认证 工作 由 程序 员 交 给 管理 员 。 

PAM 允许 管理 员 在 多 种 认证 方法 之 间作 出 选择 , 它 能 够 改变 本 地 认证 方法 而 不 需 
要 重新 编译 与 认证 相关 的 应 用 程序 ,同时 也 便于 向 系统 中 添加 新 的 认证 手段 。 

PAM 最 初 是 集成 在 Solaris 中 ,目前 已 移植 到 其 他 操作 系统 中 ,如 Linux、Sun OS、 
HP-UX9.0 等 ,并 在 Linux 中 得 到 广泛 的 应 用 。 

PAM 整个 框架 结构 如 图 6-2 所 示 。 


' 不 同 的 认证 机 制 


系统 提供 的 服务 PAM 核 心 部 分 ao 

H bia 认证 管理 | 认证 管理 

.| fi | .| 账户 管理 | 账户 管理 

ka 密码 管理 | 密码 管理 CKerbers) 

用 户 A 会 话 管理 | 会 话 管理 
4 1 S/Key 

PAM API ! PAM SPI 

we 
~ ”安全 策略 
系统 管理 员 ee f 
图 6-2 PAM 框架 结构 
PAM 设计 目标 是 : 


(1) 管理 员 可 以 选择 认证 方式 ,从 简单 的 密码 到 智能 卡 系统 。 
(2) 可 以 为 不 同 程序 配置 不 同 认 证 机 制 。 如 对 telnet 使 用 S/Key 认证 。 而 本 机 的 
login 默认 使 用 一 般 的 Unix Password。 
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(3) 支持 程序 显示 方式 的 需求 。 如 login 需要 基于 终端 的 显示 ,而 dtlogin 需要 X 显 
示 , 而 “ftp” 和 “telnet” 需 要 透 过 网 络 来 认证 。 

(4) 支持 为 一 个 程序 配置 同时 使 用 多 种 认证 机 制 。 

(5) 用 户 在 使 用 多 种 认证 机 制 时 ,同一 个 密码 不 必 敲 入 多 次 。 

(6) 用 户 在 认证 时 需要 输入 多 个 密码 。 

(7) 当 底 层 的 认证 机 制 改变 时 ,上 层 软 件 不 需要 修改 。 

(8) 结构 为 system authentication 提供 一 个 pluggable_model。 

(9) 必须 能 满足 现 有 的 服务 需要 。 

PAM 功能 包括 : 

a) 加 密 口 令 ( 包 括 DES 以 外 的 算法 ,如 AES 等 )。 

(2) 对 用 户 进 行 资源 限制 ,防止 分 布 式 拒绝 服务 (DoS) 攻 击 。 

(3) 允许 随意 Shadow 口令 。 

(4) 限制 特定 用 户 在 指定 时 间 从 指定 地 点 登录 。 

(5) 引入 概念 “client plug-in agents”, {E PAM 支持 C/S 应 用 中 的 机 器 ,机 器 认证 成 
为 可 能 。 

PAM 为 开发 更 有 效 的 认证 方法 提供 了 便利 。 在 此 基础 上 可 以 很 容易 地 开发 出 替代 
常规 的 用 户 名 加 口令 的 认证 方法 .如 智能 卡 .指纹 识别 等 认证 方法 。 


6.3 电子 支付 协议 


电子 支付 是 电子 商务 中 的 重要 环节 ,涉及 到 用 户 与 银行 等 金融 部 门 的 交互 和 接口 ,其 
安全 性 是 整个 电子 商务 安全 中 很 重要 的 一 个 方面 。 目 前 ,信用 卡 是 电子 商务 交易 中 首选 
的 支付 方式 ,而 支持 信用 卡 的 安全 协议 也 成 为 目前 电子 支付 技术 的 热点 。 

电子 商务 安全 主要 涉及 到 交易 身份 的 可 认证 性 、 信 息 的 保密 性 、 完 整 性 和 不 可 和 否认 


1. 身份 的 可 认证 性 Cauthenticity) 


指 信息 的 接收 者 能 确认 信息 的 真实 来 源 。 在 传统 交易 中 ,双方 可 以 通过 签名 .印章 等 
一 系列 有 形 的 身份 凭证 来 确认 身份 。 然 而 ,在 进行 网 上 交易 时 ,交易 双方 可 能 素 昧 平生 且 
相隔 千里 ,如 果 不 采取 任何 新 的 保护 措施 .验证 对 方 的 身份 ,就 要 比 传统 商务 更 容易 引起 
假冒 .诈骗 等 违法 活动 。 

因此 ,电子 交易 的 首要 安全 需求 就 是 要 保证 身份 的 可 认证 性 。 这 就 意味 着 ,在 双方 进 
行 交 易 前 ,首先 要 能 确认 对 方 身份 .要求 交易 双方 的 身份 不 能 被 假冒 或 伪装 。 


2. 信息 的 保密 性 (confidentiality) 


在 传统 贸易 中 ,交易 双方 一 般 通 过 面对面 或 其 他 可 靠 通信 渠道 进行 信息 交换 ,达到 保 
守 商 业 机 密 的 目的 。 而 电子 商务 是 建立 在 一 个 开放 的 网 络 环境 下 , 当 交 易 双 方 通过 
Internet 存储 和 交换 信息 时 ,如 果 不 采 取 适 当 保密 措施 ,就 有 可 能 造成 敏感 商业 信息 泄 
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圳 ,导致 商业 上 的 巨大 损失 。 所 以 ,信息 的 保密 性 是 电子 商务 一 个 重要 的 安全 需求 。 这 就 
意味 着 ,电子 商务 的 交易 方 一 定 要 对 重要 信息 进行 加 密 , 即 使 别人 截获 或 窃取 了 数据 ,也 
无 法 识别 信息 的 真实 内 容 , 这 样 就 可 以 使 商业 机 密 难 以 泄露 。 


3. 信息 的 完整 性 (integrity) 


电子 商务 简化 了 贸易 过 程 ,减少 了 人 为 干预 ,同时 也 带 来 维护 贸易 各 方 商业 信息 的 完 
整 统一 的 问题 。 由 于 数据 输入 时 的 意外 差错 或 欺诈 行为 ,可 能 导致 贸易 各 方 信息 的 差 
异 。 此 外 ,数据 传输 过 程 中 信息 丢失 .信息 重复 或 信息 传送 的 次 序 差异 也 会 导致 贸易 各 方 
信息 不 同 。 贸 易 各 方 信息 的 完整 性 将 影响 贸易 各 方 的 交易 和 经 营 策略 ,保持 贸易 各 方 信 
息 的 完整 性 是 电子 商务 应 用 的 基础 。 因 此 ,要 预防 对 信息 的 随意 生成 .修改 和 删除 ,同时 
要 防止 数据 传送 过 程 中 信息 的 丢失 和 重复 并 保证 信息 传送 次 序 一 致 。 

在 电子 商务 中 网 络 还 可 能 面临 被 动 攻 击 和 主动 攻击 两 类 威胁 。 被 动 攻击 就 是 不 修改 
任何 交易 信息 ,但 通过 截获 窃取、 观察 ,监听 等 方式 获得 有 价值 的 情报 。 而 主动 攻击 就 是 
自 改 交易 信息 ,破坏 信息 的 完整 性 和 有 效 性 ,以 达到 非法 的 目的 。 信 息 的 保密 性 是 针对 被 
动 攻击 一 类 威胁 提出 的 安全 需求 ,但 它 并 不 能 避免 针对 网 络 所 采用 的 主动 攻击 一 类 的 威 
胁 。 因 此 ,保证 信息 的 完整 性 也 是 电子 商务 活动 中 一 个 重要 的 安全 需求 。 这 就 意味 着 , 交 
易 各 方 都 能 验证 收 到 的 信息 是 否 完 整 , 即 信息 是 否 被 算 改 过 .或 在 数据 传输 过 程 中 是 否 出 
现 信息 丢失 等 差错 。 


4. 不 可 否认 性 (non-reputation) 


不 可 否认 性 也 称 为 可 追究 性 。 不 可 否认 性 是 指 贸易 方 对 其 所 作 的 动作 不 可 抵赖 。 在 
传统 贸易 中 ,贸易 双方 通过 在 交易 合同 等 书面 文件 上 手写 签名 或 印章 ,预防 抵赖 行为 的 发 
生 。 但 在 无 纸 化 的 电子 交易 中 ,人 们 不 可 能 再 通过 传统 方法 来 预防 抵赖 行为 ,必须 采用 新 
的 技术 防止 电子 商务 的 抵赖 行为 ,否则 就 会 引起 商业 纠纷 ,使 电子 商务 无 法 顺利 进行 。 因 
而 ,保证 交易 过 程 中 的 不 可 否认 性 也 是 电子 商务 安全 需求 中 的 一 个 重要 方面 。 这 就 意味 
着 ,在 电子 交易 通信 过 程 各 个 环节 中 都 必须 是 不 可 否认 的 , 即 交 易 一 旦 达成 ,各 方 不 能 否 
认 他 所 发 送 的 或 接收 的 信息 。 

5. 公平 性 (fairness) 

公平 性 是 指 如 果 交 易 成 功 . 交 易 双 方 应 该 获得 他 们 要 取得 的 电子 货物 。 如 果 交 易 失 
败 ,交易 双方 谁 也 不 能 获得 要 取得 的 电子 货物 。 这 一 点 也 是 进行 电子 商务 活动 的 客户 比 
较 关 心 的 。 

6. 匿名 性 Canonymity) 

一 般 地 ,用户 在 商业 交易 中 都 希望 保护 自己 的 隐私 :不 愿 泄露 自己 的 身份 .购物 习惯 、 
购物 品种 和 数量 等 信息 。 在 现金 交易 中 一 般 可 以 很 有 效 地 保护 顾客 的 身份 。 例 如 ,钞票 


昌 有 有 号码, 但 通常 不 会 暴露 使 用 者 是 谁 。 所 以 匿名 性 是 一 种 商业 交易 中 的 要 求 。 
为 了 保障 电子 商务 的 安全 性 ,除了 需要 采用 防火 墙 、 防 病毒 和 防 攻 击 等 网 络 安全 措施 
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外 ,一 些 公司 和 机 构 还 制定 了 电子 商务 的 安全 协议 ,来 规范 在 Internet 上 从 事 商务 活动 的 
典型 的 电子 商务 安全 协议 主要 有 SSL (安全套 接 层 ) 协 议和 SET( 安 全 电子 交易 ) 
协议 。 


6.3.1 安全 套 接 层 协 议 


SSL(secure sockets layer) 协 议 最 初 是 由 Netscape 公司 研究 制定 的 安全 协议 。 该 协 
议 向 基于 TCP/IP 的 客户 /服务 器 应 用 程序 提供 客户 端 和 服务 器 的 认证 .数据 完整 性 及 信 
息 机 密 性 等 安全 措施 。 该 协议 通过 在 应 用 程序 进行 数据 交换 前 交换 SSL 初始 握手 信息 
来 实现 有 关 安 全 特性 的 审查 。 在 SSL 握手 信息 中 采用 了 DES, MD5 等 加 密 技 术 来 实现 
机 密 性 和 数据 完整 性 。 当 然 , 也 可 使 用 AES, ECC 等 高 级 加 密 技术 实现 ,并 采用 X. 509 
的 数字 证 书 实现 认证 。 

SSL 协议 位 于 TCP/IP 协议 与 各 种 应 用 层 协议 之 间 ,通过 它 发 信 方 和 收 信 方 在 建立 
TCP 连接 之 后 ,可 以 协商 建立 安全 通信 环境 ,具体 包括 身份 认证 (通过 对 对 方 证 书 的 验证 
来 实现 ) .密码 算法 和 密 钥 的 协商 `\MAC 秘密 的 协 本 
商 等 。 安 全 环境 建立 起 来 之 后 ,就 可 以 收发 SSL 一 一 一 应 用 层 
数据 (SSL 记录 ), 如 图 6-3 所 示 。 ee 网 络 层 

SSL 不 是 一 个 单独 的 协议 ,而 是 两 层 协议 , 即 
握手 层 和 记录 层 。SSL 握手 协议 描述 建立 安全 连 Ed 
接 的 过 程 , 在 客户 和 服务 器 传送 应 用 层 数据 之 前 ， 图 6-3 SSL 协议 的 位 置 
完成 诸如 加 密 算法 和 会 话 密 钥 的 确定 .通信 双方 的 身份 验证 等 功能 。SSL 记录 协议 则 定 
义 了 数据 传送 的 格式 。 这 样 ,应 用 层 通过 SSL 协议 把 数据 传 给 传输 层 时 ,已 是 加 密 后 的 
数据 ,此 时 TCP/IP 协议 只 需 负 责 将 其 可 靠 地 传送 到 目的 地 ,弥补 了 TCP/IP 协议 安全 性 
较 差 的 弱点 ,如 图 6-4 所 示 。 


TCP/IP layer 


SSL 握手 协议 SSL 更 改 密码 规格 协议 SSL 警报 协议 HTTP 
SSL 记录 层 协议 


图 6-4 SSL 协议 


(1) SSL 记录 协议 (SSL record protocol): 建立 在 可 靠 的 传输 协议 (如 TCP) 之 上 ,为 
高 层 协议 提供 数据 封装 .压缩 ,加密 等 基本 功能 的 支持 。 

(2) SSL 握手 协议 (SSL handshake protocol); 建立 在 SSL 记录 协议 之 上 ,用 于 在 实 
际 数据 传输 开始 前 ,通信 双方 进行 身份 认证 协商 加 密 算法 .交换 加 密 密 钥 等 。 

SSL 安全 协议 主要 提供 3 个 方面 的 服务 : 

(1) 认证 用 户 和 服务 器 ,使 得 它们 能 够 确信 数据 将 发 送 到 正确 的 客户 机 和 服务 器 上 。 

(2) 加 密 数据 以 隐藏 传送 的 数据 。 

(3) 维护 数据 的 完整 性 ,确保 数据 在 传输 过 程 中 不 被 改变 。 
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SSL 的 运行 步骤 包括 6 步 : 

(1) 接 通 阶 段 : 客户 通过 网 络 呼叫 服务 商 .服务 商 回 应 。 

(2) 密码 算法 交换 阶段 : 客户 与 服务 商 之 间 交 换 双 方 认 可 的 密码 算法 。 一 般 选 用 
RSA 密码 算法 ,也 有 的 选用 Diffie-Hellman 和 Fortezza-KEA 密码 算法 。 

(3) 会 谈 密 钥 阶段 : 客户 与 服务 商 之 间 产 生 彼此 交谈 的 会 谈 密 钥 。 

CA) 检验 阶段 : 检验 服务 商 取 得 的 密码 。 

(5) 客户 认证 阶段 : 验证 客户 的 可 信和 度 。 

(6) 结束 阶段 : 客户 与 服务 商 之 间 相 互 交 换 结 束 信息 。 

当 上 述 步骤 完成 之 后 ,两 者 间 的 资料 传送 就 会 加 密 ,到 另外 一 端 收 到 资料 后 ,再 将 编 
码 后 的 资料 还 原 。 即 使 盗窃 者 在 网 络 上 取得 编码 后 的 资料 ,如 果 没 有 原先 编制 的 密码 算 
法 ,也 不 能 获得 可 读 的 有 用 资料 。 

在 电子 商务 交易 过 程 中 ,由 于 有 银行 参与 ,按照 SSL 协议 ,客户 购买 的 信息 首先 发 往 
商家 ,商家 再 将 信息 转发 银行 ,银行 验证 客户 信息 的 合法 性 后 ,通知 商家 付款 成 功 , 商 家 再 
通知 客户 购买 成 功 , 并 将 商品 寄 送 给 客户 。 

SSL 安全 协议 是 国际 上 最 早 应 用 于 电子 商务 的 一 种 网 络 安全 协议 ,至 今 仍 然 有 许 
多 网 上 商店 在 使 用 。 在 点 对 点 的 网 上 银行 业务 中 也 经 常 使 用 。 该 协议 已 成 为 事实 上 
的 工业 标准 ,并 被 广泛 应 用 于 Internet 和 Intranet 的 服务 器 产品 和 客户 端 产品 中 。 如 
Netscape 公司 .Microsoft 公司 .IJBM 公司 等 Internet/Intranet 网 络 产品 的 公司 已 在 使 用 
该 协议 。 

SSL 已 广泛 应 用 于 电子 商务 领域 ,主要 是 因为 它 能 为 两 个 通信 实体 提供 认证 、 数 据 
的 保密 性 和 完整 性 服务 。 

(1) 用 户 和 服务 器 的 合法 性 验证 。 利 用 证 书 技术 和 可 信 的 第 三 方 CA ,可 以 让 客户 机 
和 服务 器 相互 识别 对 方 的 身份 。SSL 要 求证 书 持 有 者 在 握手 时 相互 交换 数字 证 书 , 通 过 
验证 来 保证 对 方 身份 的 合法 性 。 

(2) 数据 的 保密 性 。SSL 所 采用 的 加 密 技 术 既 有 对 称 密 钥 技术 ,也 有 公开 密 钥 技术 。 
SSL 客户 机 和 服务 器 通过 密码 算法 和 密 钥 的 协商 建立 起 一 个 安全 通道 ,在 此 安全 通道 中 
传输 的 所 有 信息 将 经 过 加 密 人 处理, 这样, 网络 中 的 非法 窃听 者 所 获取 的 信息 都 将 是 无 法 识 
别 的 密 文 信息 。 

(3) 数据 的 完整 性 。SSL 利用 密码 算法 和 Hash 算法 ,通过 对 传输 信息 特征 值 的 提 
取 来 保证 信息 的 完整 性 ,确保 要 传输 的 信息 全 部 完整 ,准确 无 误 地 到 达 目 的 地 。 


6.3.2 安全 电子 交易 协议 


安全 电子 交易 (secure electronic transactions. SET) R WEEN T Æ Internet 上 进行 在 
线 交 易 时 保证 信用 卡 支付 的 安全 而 设立 的 一 个 开放 的 规范 。 它 是 由 Visa International, 
Master Card International 两 大 信用 卡 公 司 与 I[BM、Microsoft、Netscape、GTE、VeriSign、 
SAIC、Terisa 等 厂商 合作 开发 的 。 

SET 是 一 种 基于 消息 流 的 协议 。 它 采用 公开 密 钥 密码 体制 和 X. 509 数字 证 书 标准 ， 
主要 应 用 于 电子 商务 的 Bto C 模式 。 与 SSL 相 比 ,SET 不 仅 加 密 两 个 端点 间 的 单个 会 
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话 ,还 可 以 加 密 和 认定 三 方 之 间 的 多 个 信息 。 

在 SET 协议 中 主要 定义 以 下 内 容 : 

(1) 加 密 算法 的 应 用 。 

(2) 证 书 消息 和 对 象 格 式 。 

(3) 购买 消息 和 对 象 格 式 。 

(4) 请 款 消 息 和 对 象 格式 。 

(5) 参与 者 之 间 的 消息 协议 。 

SET 协议 主要 使 用 的 技术 包括 : 对 称 密 钥 加 密 、 公 开 密 钥 加 密 、Hash 算法 、 数 字 签 
名 、 数 字 信 封 以 及 数字 证 书 等 技术 。 它 提供 消费 者 .商家 和 银行 之 间 的 认证 ,确保 交易 数 
据 的 安全 性 、 完 整 可 靠 性 和 交易 的 不 可 否认 性 ,特别 是 保证 不 将 消费 者 银行 卡号 暴露 给 商 
家 等 优点 ,使 其 成 为 目前 公认 的 信用 卡 / 借 记 卡 的 网 上 交易 的 国际 安全 标准 。 

SET 主要 由 3 个 部 分 组 成 ,分 别 是 SET 业务 描述 、SET 程序 员 指 南 和 SET 协议 描 
述 。SET1. 0 版 已 经 公布 并 可 应 用 于 任何 银行 支付 服务 。 

SET 采用 RSA 公开 密 钥 体系 对 通信 双方 进行 认证 。 利 用 AES, RC4 或 任何 标准 对 
称 加 密 方法 进行 信息 的 加 密 传输 ,并 用 Hash 算法 来 鉴别 消息 真 伪 , 有 无 筑 改 。 在 SET 
体系 中 有 一 个 关键 的 认证 机 构 CA (certificate authority) ,CA 根据 X. 509 标准 发 布 和 管 
理 证 书 。 

1. SET 安全 协议 运行 的 目标 


SET 是 一 个 基于 可 信 的 第 三 方 认证 中 心 的 方案 , 它 要 实现 的 主要 目标 是 : 

A) 保障 付款 安全 : 确保 付款 资料 之 隐 密 性 及 完整 性 ,提供 持 卡 人 、 特 约 商店 、 收 单 
银行 之 认证 ,并 定义 安全 服务 所 需 之 演算 法 及 相关 协定 。 

(2) 确定 应 用 之 互通 性 : 提供 一 个 开放 式 的 标准 ,明确 定义 细节 ,以 确保 不 同 厂 商 开 
发 之 应 用 程序 可 共同 运作 ,促成 软件 互通 ; 并 在 现存 各 种 标准 下 构建 该 协定 ,允许 在 任何 
软 硬 件 平台 上 的 执行 ,使 标准 达到 相 容 性 与 接受 性 的 目标 。 

(3) 达到 全 球 市 场 的 接受 性 : 在 容易 使 用 与 对 特约 商店 、 持 卡 人 影响 最 小 的 前 提 下 ， 
达到 全 球 普遍 性 。 人 允许 在 目前 使 用 者 的 应 用 软件 下 .组 入 付款 协定 的 执行 ,对 收音 银行 与 
特约 商店 、 持 卡 人 与 发 卡 银行 间 的 关系 ,以 及 信用 卡 组 织 的 基础 构架 改变 最 少 。 

为 此 ,SET 协议 要 做 的 事情 有 : 

(1) 保证 信息 在 因特网 上 安全 传输 ,防止 数据 被 黑客 或 被 内 部 人 员 窃 取 。 

(2) 保证 电子 商务 参与 者 信息 的 相互 隔离 。 客 户 的 资料 加 密 或 打包 后 通过 商家 到 达 
银行 ,但 是 商家 不 能 看 到 客户 的 账户 和 密码 信息 。 

(3) 解决 多 方 认证 问题 ,不 仅 要 对 消费 者 的 信用 卡 认 证 :而 且 要 对 在 线 商 店 的 信誉 程 
度 认 证 ,同时 还 有 消费 者 在线 商店 与 银行 间 的 认证 。 

(4) 保证 网 上 交易 的 实时 性 ,使 所 有 支付 过 程 都 是 在 线 的 。 

(5) 效仿 电子 数据 交换 (electronic data interchange. EDD 贸易 的 形式 ,规范 协议 和 消 
息 格式 ,促使 不 同 厂家 开发 的 软件 具有 兼容 性 和 互 操作 功能 ,并 且 可 以 运行 在 不 同 硬件 和 
操作 系统 平台 上 。 
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2. SET 的 运作 方式 


SET 的 运作 是 通过 4 个 软件 组 件 完成 的 ,分 别 在 持 卡 人 商家、 支付 网 关 以 及 认证 中 
心 CA 的 计算 机 中 运行 ,共同 完成 整个 SET 交易 服务 。 

(1) 电子 钱包 : 安装 在 持 卡 人 端的 软件 组 件 , 称 为 电子 钱包 。 用 户 在 使 用 电子 钱包 
进行 网 上 购物 时 ,只 需 确 认 订 单 已 发 送 给 商家 即 可 ,其 他 功能 电子 钱包 会 自动 完成 。 

(2) 支付 网 关 : 是 商家 和 银行 间 信 息 传输 和 转换 的 桥梁 ,利于 安全 通信 。 

(3) 认证 中 心 : 在 基于 SET 协议 的 电子 商务 体系 中 起 着 重要 作用 ,负责 为 参与 交易 
的 各 方 签发 证 书 ,进行 身份 验证 。 

SET 是 一 个 基于 可 信 的 第 三 方 认证 中 心 的 方案 , 它 的 核心 在 于 数字 证 书 , 它 提供 简 
单 的 方法 确保 进行 电子 交易 的 人 们 能 够 互相 信任 。 所 以 ,在 使 用 基于 SET 协议 的 银行 卡 
进行 网 上 支付 前 , 持 卡 人 、 商 家 、 支 付 网 关 都 必须 向 认证 中 心 申 请 数字 证 书 , 这 样 才 能 参与 
SET 交易 。 

SET 最 主要 的 使 用 对 象 在 消费 者 与 商店 之 间 , 商 店 与 收 单 银行 (付款 银行 ) 之 间 。 其 
运作 方式 简 述 如 下 : 

(1) 在 消费 者 与 特约 商店 之 间 , 由 持 卡 人 在 消费 前 先 确认 商店 的 合法 性 ,由 商店 出 示 
它 的 证 书 。 

(2) 持 卡 人 确认 后 即 可 下 订单 ,其 订单 经 消费 者 以 数字 签名 (digital signature) 的 方 
式 确认 ,而 消费 者 所 提供 的 信用 卡 资料 则 男 由 收 单 银行 以 公 钥 予以 加 密 。 这 里 ,特约 商店 
会 收 到 两 个 加 密 过 的 资料 ,其 中 一 个 是 订单 资料 , 另 一 个 是 关于 支付 的 资料 ,特约 商店 可 
以 解密 前 者 ,但 无 法 解密 后 者 ,避免 特约 商店 搜集 或 滥用 持 卡 人 消费 资料 。 

G) 特约 商店 将 客户 的 资料 连同 自己 的 SET 证 书 发 给 收 单 银行 ,向 银行 请 求 交 易 授 
权 及 授权 回复 。 

CA) 收 单 银行 会 同时 监视 两 个 证 书 来 确定 是 否 为 合法 的 持 卡 人 及 特约 商店 。 收 单 银 
行 会 由 支付 系统 网 关 (payment gateway) 来 解密 ,核对 资料 无 误 后 ,再 连 线 到 传统 的 网 络 
(比如 Visa 或 Master Card) 做 交易 授权 及 清算 。 

(5) 授权 确认 后 由 特约 商店 向 消费 者 再 行 确认 订单 ,交易 完成 。 

(6) 至 于 特约 商店 与 收 单 银 行 间 , 则 基于 该 授权 为 请 款 之 要 求 并 由 银行 付款 。 

图 6-5 是 这 个 过 程 的 图 示 化 表示 。 

在 这 个 过 程 中 可 以 看 到 ,CA 扮演 了 系统 中 很 重要 的 角色 。SET 标准 着 重点 是 其 
交易 安全 及 隐 密 性 。 其 中 ,证 书 (digital certificate) 为 其 核心 : 它 提供 简单 的 方法 来 确保 
进行 电子 交易 的 人 们 能 够 互相 信任 。 信 用 卡 组 织 提供 数字 证 书 给 发 卡 银行 ,然后 发 卡 
行 再 提供 证 书 给 持 卡 人 ; 同时 ,信用 卡 组 织 也 提供 数字 证 书 给 收 单 银 行 ,然后 收 单 银 
行 再 将 证 书 发 给 特约 商店 。 在 进行 交易 的 时 候 , 持 卡 人 和 特约 商店 两 边 符 合 SET 的 
规格 软件 ,会 在 资料 交换 前 分 别 确认 双方 身份 :也 就 是 检查 由 授权 的 第 三 者 所 发 给 
的 证 书 。 
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1. 确认 商店 的 合法 性 


2. 提交 商店 的 证 书 


3. 数字 签名 、 订 单 和 电子 证 书 


持 特 | 4 请求 交 易 授权 |" 
E gy 上 一 | 第 
商 5. 交易 授权 回复 银 
人 6. 订单 确认 ， 完 成 交易 店 i 
7. 请 款 要 求 
8. 请 款 回复 


图 6-5 SET 的 简易 流程 示意 图 


3. SET 安全 协议 涉及 的 范围 


SET 协议 规范 所 涉及 的 范围 有 : 

(1) 消费 者 。 包 括 个 人 消费 者 和 团体 消费 者 ,按照 在 线 商 店 的 要 求 填写 订货 单 ,通过 
由 发 卡 银行 发 行 的 信用 卡 进行 付款 。 

(2) 在 线 商 店 。 提 供 商 品 或 服务 ,具备 相应 电子 货币 使 用 的 条 件 。 

G) 收 单 银行 。 通 过 支付 网 关 处 理 消费 者 和 在 线 商店 之 间 的 交易 付款 问题 。 

(4) 电子 货币 (如 智能 卡 、 电 子 现 金 、 电 子 钱包 ) 发 行 公 司 以 及 某 些 兼 有 电子 货币 发 行 
的 银行 。 负 责 处 理智 能 卡 的 审核 和 支付 工作 。 

G) 认证 中 心 (CA)。 负 责 确 认 交 易 双 方 的 身份 .对 厂商 的 信誉 度 和 消费 者 的 支付 手 
段 进行 认证 。 

4. SET 的 认证 


在 用 户 身份 认证 方面 ,SET 引入 了 证 书 (certificates) 和 证 书 管理 机 构 (certificates 
authorities) #L iil 。 

(1) 证 书 

证 书 就 是 一 份 文档 , 它 记 录 了 用 户 的 公共 密 钥 和 其 他 身份 信息 。 在 SET 中 ,最 主要 
的 证 书 是 持 卡 人 证 书 和 商家 证 书 。 

持 卡 人 证 书 (cardholder certificates): 它 实 际 上 是 支付 卡 的 一 种 电子 化 表示 。 它 是 
由 金融 机 构 以 数字 签名 形式 签发 的 ,不 能 随意 改变 。 持 卡 人 证 书 并 不 包括 账号 和 终止 日 
期 信息 ,取而代之 的 是 用 单 向 哈 希 算法 根据 账号 、 截 止 日 期 生成 的 一 个 编码 ,如 果 知 道 账 
号 、 截 止 日 期 、 密 码 值 即 可 导出 这 个 码 值 , 反 之 不 行 。 

商家 证 书 (merchant certificates): 表示 可 接受 何 种 卡 来 进行 商业 结算 。 它 是 由 金融 
机 构 签发 的 ,不 能 被 第 三 方 改 变 。 在 SET 环境 中 ,一 个 商家 至 少 应 有 一 对 证 书 。 一 个 商 
家 也 可 以 有 多 对 证 书 ,表示 它 与 多 个 银行 有 合作 关系 ,可 以 接受 多 种 付款 方法 。 
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除了 持 卡 人 证 书 和 商家 证 书 以 外 ,还 有 支付 网 关 证 书 (payment gateway certificates) 、 银 
行 证 书 (acquirer certificates) 发卡 机 构 证 书 (issuer certificates)。 

(2) 证 书 管理 机 构 

CA 是 受 一 个 或 多 个 用 户 信 任 , 提 供用 户 身份 验证 的 第 三 方 机 构 。 证 书 一 般 包 含 拥 
有 者 的 标识 名 称 和 公 钥 ,并 且 由 CA 进行 过 数字 签名 。 

CA 的 功能 主要 有 : 接收 注册 请 求 , 人 处理、 批准 /拒绝 请 求 ,颁发 证 书 。 用户 向 CA 提 
交 自 己 的 公共 密 钥 和 代表 自己 身份 的 信息 (如 身份 证 号 码 或 E-mail 地址 ) ,CA 验证 了 用 
户 的 有 效 身 份 之 后 ,向 用 户 颁 发 一 个 经 过 CA 私有 密 钥 签名 的 证 书 。 

(3) 证 书 的 树 形 验 证 结构 

在 两 方 通信 时 ,通过 出 示 由 某 个 CA 签发 的 证 书 来 证 明 自 己 的 身份 ,如 果 对 签发 证 书 
的 CA 本 身 不 信任 , 则 可 验证 CA 的 身份 ,依次 类 推 , 一 直到 公认 的 权威 CA 处 ,就 可 确信 
证 书 的 有 效 性 。SET 证 书 正 是 通过 信任 层次 来 逐 级 验证 的 。 

通过 SET 的 认证 机 制 , 用 户 不 再 需要 验证 并 信任 每 一 个 想 要 交换 信息 的 用 户 的 公共 
密 钥 ,而 只 需要 验证 并 信任 颁发 证 书 的 CA 的 公共 密 钥 就 可 以 了 。 


5. SET 标准 的 应 用 


由 于 设计 合理 ,SET 协议 得 到 了 IBM, HP, Microsoft, Netscape, VeriFone, GTE, 
VeriSign 等 许多 大 公司 的 支持 ,目前 已 获得 互联 网 工程 任务 组 (the internet engineering 
task force,IETF) 标 准 的 认可 ,成 为 企业 对 个 人 (B2C) 业 务 事实 上 的 工业 标准 。 

在 国际 上 ,已 经 有 很 多 银行 建立 了 支付 网 关 . 接 受 SET 方式 支付 ; 在 国内 ,中 国 银行 
已 经 采用 SET 方式 ,建立 了 认证 中 心 和 支付 网 关 。 现 在 ,在 北京 和 上 海 ,用 户 都 可 以 使 用 
长 城 电 子 借 记 卡 进行 人 民 币 支付 .同时 .中国 银行 还 利用 香港 中 银 信 用 卡 (国际 ) 有 限 公司 
的 支付 网 关 接 受 外 币 业 务 。 

从 1996 年 开始 ,34 个 国家 的 150 多 家 金融 机 构 制定 了 SET 试行 方案 。 从 新 加 坡 到 
旧金山 的 信用 卡 公司 都 开始 建造 SET 交易 网 关 , 软 件 厂家 则 着 手 开 发 支持 SET 的 应 用 
软件 。 

总 之 ,安全 的 电子 支付 是 电子 商务 中 最 为 核心 和 复杂 的 环节 ,所 以 ,电子 支付 方式 的 
选择 一 定 要 根据 电子 商务 交易 的 实际 情况 ,并 结合 安全 性 和 效率 等 方面 进行 综合 考虑 。 
SSL 安全 协议 和 SET 安全 协议 的 应 用 极 大 地 推动 了 电子 支付 技术 的 提高 ,从 而 也 促进 了 
电子 商务 的 发 展 。 


6.3.3 ISI 协议 


ISI 支付 协议 是 由 Medvinsky 和 Neuman 提出 的 . 它 的 目的 是 付款 人 A 向 收 款 人 B 
付款 ,A 保持 匿名 。 

(1) AB: Ka 

(2) B>A: Ky) x, 

(3) A>B:{{coins}xz! »SK,+K_ses.S_id}x, 


(4) B>CS:{{ coins}xz! -SK, + transaction} «x_, 
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(5) CS-~B:({new_coins}ksl } sk 

(6) B>A:{{amount, Tid. date} >? jsk。 

通过 协议 的 步骤 (1) 和 步骤 (2),A 取得 B 的 公开 密 钥 。 步 又 (3),.A 将 电子 货币 、 希 
望 获得 的 服务 的 标识 符 S_id 和 密 钥 K_ses 用 B 的 公开 密 钥 加 密 后 传送 给 B。 通 过 Ka, B 
可 以 验证 电子 货币 的 有 效 性 。 然 后 ,B 通过 步骤 (4) 将 电子 货币 发 送 给 货币 服务 方 
(Currency Server,CS) ,如 果 这 笔 钱 尚未 使 用 ,CS 通过 步骤 (5) 支 付 给 B. PRG), B 
收据 传送 给 A。 


6.3.4 First Virtual 协议 


First Virtual 协议 是 美国 First Virtual 公司 开发 的 电子 支付 协议 , 它 也 是 用 于 网 上 
信用 卡 的 安全 电子 交易 协议 。 与 其 他 协议 不 同 , 它 采 用 了 非 密 码 学 的 方法 解决 安全 性 
问题 。 

客户 先 在 First Virtual 建立 一 个 ID 号 ,并 将 自己 的 信用 卡号 注册 。 当 需要 支付 信息 
费用 时 ,其 支付 过 程 如 下 : 

(1) 客户 将 在 First Virtual 的 ID 号 发 给 商家 。 

(2) 商家 连接 First Virtual 服务 器 ,验证 ID 号 的 合法 性 。 如 果 合 法 ,商家 把 客户 所 
需 的 信息 直接 发 送 给 客户 。 

(3) First Virtual 服务 器 以 E-mail 形式 向 客户 发 送 询问 信息 ,征询 客户 是 否 愿 意 
付费 。 

(4) 客户 同样 以 E-mail 形式 回复 “是 ”或 “ 否 ”。 

O) 如 果 客 户 的 回复 为 “是 ”,First Virtual 通过 用 户 信 用 卡 的 代理 获得 相应 的 款项 。 

(6) 90 天 后 ,First Virtual 服务 器 将 款项 转 给 相应 的 商家 。 

First Virtual 协议 使 用 了 以 下 几 个 基本 假设 : 

(1) 客户 不 知道 所 索取 的 信息 是 否 对 自己 有 价值 ,必须 收 到 信息 后 再 作出 支付 
判断 。 

(2) 电子 发 送信 息 的 费用 较 低 ,客户 不 做 支付 时 ,商家 未 受 什 么 损失 。 

(3) 多 数 的 客户 是 诚实 的 , 即 客户 的 信用 度 可 以 保障 。 

由 此 可 见 , 这 些 条 件 都 与 安全 性 无 关 。First Virtual 协议 的 所 有 安全 保障 都 基于 E- 
mail 通信 体系 的 安全 性 和 完整 性 。 支 付 的 90 天 延迟 是 为 了 防止 欺骗 的 发 生 , 如 有 这 样 
的 情况 ,客户 的 款项 将 被 返还 。 


6.3.5 iKP 协议 


美国 IBM 公司 开发 的 iKP 协议 (I Key Protocol,i 二 1,2,3) 是 一 簇 安全 电子 支付 协 
议 ,该 簇 协议 与 现 有 的 商业 模型 和 支付 系统 基础 设施 相 匹 配 。 协 议 中 涉及 3 个 主体 , 即 用 
户 、 商 家 和 网 关 。 所 有 iKP 协议 都 基于 公开 密 钥 密码 学 ,但 它们 随 拥 有 公开 和 秘密 密 铀 
对 的 主体 的 数目 而 变化 ,分 别称 为 1KP 协议 .2KP 协议 和 3KP 协议 ,其 安全 性 和 复杂 性 
递增 。 
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其 中 ,1KP 协议 是 最 简单 的 协议 , 它 只 要 求 网 关 拥 有 一 对 公开 和 秘密 密 钥 。 用 户 和 
商家 只 需 拥 有 网 关 认 证 的 公开 密 钥 , 或 经 一 个 权威 机 构 认 证 的 网 关公 开 密 钥 ( 该 机 构 通 过 
签名 证 书 使 网 关 的 公开 密 钥 合法 化 ) 。 这 就 涉及 CA 基础 设施 ,用 户 通 过 他 们 的 信用 卡号 
和 相关 秘密 PIN 进行 认证 。 支 付 是 通过 交换 用 网 关 的 公开 密 钥 加 密 的 信用 卡号 和 PIN 
以 及 限定 的 相关 信息 (如 交易 量 ID 号 等 ) 认 证 的 。1KP 协议 不 能 对 用 户 和 商家 发 送 的 消 
息 提 供 非 否认 性 ,这 就 意味 着 不 容易 解决 支付 订购 中 产生 的 争端 。 

2KP 协议 要 求 网 关 和 商家 都 拥有 公开 和 秘密 密 钥 对 ,以 及 公开 密 钥 证 书 。 协议 对 来 
自 商 家 发 送 的 消息 能 提供 非 否 认 认 证 。 该 协议 能 使 用 户 无 需 和 任何 在 线 第 三 方 联系 就 能 
通过 检测 他 们 的 证 书 , 验 证 他 们 正在 和 真实 的 商家 进行 交易 。 与 1KP 协议 一 样 ,支付 订 
购 是 通过 用 户 的 信用 卡号 和 PIN 认证 的 (在 传输 之 前 要 求 加 密 ) 。 

3KP 协议 要 求 网 关 .用户 和 商家 三 方 都 拥有 公开 和 秘密 密 钥 对 ,并 提供 多 方位 的 安 
全 服务 。 它 对 各 方 涉及 的 所 有 消息 都 提供 非 和 否认 认证 。 支 付 订 购 是 通过 用 户 的 信用 卡号 
和 了 PIN 以 及 用 户 的 数字 签名 认证 的 。 该 协议 要 求 公 开 密 钥 基 础 设施 (PKI) 提 供用 户 的 公 
开 密 钥 证 书 。 

特别 值得 一 提 的 是 ,iKP 协议 只 关心 支付 而 未 涉及 订货 与 价格 协商 ,协议 假设 这 些 内 
容 已 由 商家 和 用 户 事先 确定 。 该 协议 也 没有 明确 地 提供 对 订购 信息 的 加 密 , 协 议 假设 这 
类 保护 已 由 现 有 的 机 制 完 成 ,例如 SHTTP、SSL 等 。 


6.3.6 数字 现金 相关 协议 


现金 有 一 个 问题 , 它 难 于 搬运 ,容易 传播 病菌 ,并 且 容 易 被 人 偷 走 。 

支票 和 信用 卡 大 大 减少 了 社会 上 实际 现金 的 流通 量 ,但 实际 上 不 可 能 完全 取消 现金 。 
因为 毒品 贩子 和 政治 家 永远 不 会 赞成 取消 现金 。 还 有 ,支票 和 信用 卡 具 有 的 审计 线索 ,不 
可 能 隐瞒 把 钱 给 了 谁 。 

另 一 方面 ,支票 和 信用 卡 又 使 别人 可 以 侵犯 自己 的 隐私 ,其 过 程 是 以 前 想像 不 到 的 。 
虽然 没有 人 同意 警察 跟随 其 一 生 ,但 是 警察 可 以 查看 相应 的 金融 交易 。 他 们 能 看 到 某 人 
在 哪里 买 汽 油 ,在 哪里 买 食物 ,和 谁 通 了 电话 一 一 所 有 这 一 切 都 逃 不 过 他 们 的 计算 机 终 
端 。 人 们 需要 有 一 种 方法 来 保护 他 们 的 匿名 权 、 藉 以 保护 他 们 的 隐私 。 

数字 现金 又 叫 电子 现金 , 它 是 以 电子 化 数字 形式 存在 的 现金 货币 。 电 子 现 金 比 现 有 
的 实际 现金 (纸币 和 硬币 ) 有 更 多 的 优点 ,实际 现金 要 承担 较 大 的 存储 风险 、 高 昂 传 输 费 
用 、 较 大 的 安全 保卫 和 防伪 的 投资 。 其 发 行 方式 包括 存储 性 质 的 预付 卡 ( 即 电 子 钱 包 ) 和 
纯 电 子 系统 形式 的 用 户 号 码 数据 文件 等 形式 。 

数字 现金 具有 如 下 特点 : 

(1) 银行 和 卖方 之 间 应 有 协议 和 授权 关系 。 

(2) 买方 .卖方 和 E-cash 银行 都 需要 使 用 e-cash 软件 。 

(3) 适合 于 小 量 的 交易 (Mini Payment). 

(4) 身份 验证 由 E-cash 本 身 完成 。 

(5) E-cash 银行 负责 买方 和 卖方 之 间 资 金 的 转移 。 

(6) 具有 现金 特点 ,可 以 存 、 取 、 转 让 ; 而 且 安 全 性 也 比较 好 。 
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(7) 主要 缺点 是 ,就 和 普通 的 货币 一 样 ,硬盘 出 故障 的 时 候 , 如 果 没 有 备份 ,现金 就 丢 
RT. 

幸好 ,有 一 个 复杂 协议 容许 消息 可 以 确认 ,但 不 可 跟踪 。 举 例 来 说 ,说 客 A 可 以 把 数 
字 现 金 转 移 给 参议 员 B, 并 使 得 新 闻 记者 下 不 知道 A 的 身份 ,然后 B 可 以 把 这 笔 电 子 货 
币 存 人 他 的 账户 ,即使 是 银行 也 不 知道 A 是 谁 。 

但 是 如 果 A 试图 以 用 来 贿赂 B 的 同一 笔 数字 现金 来 买 可 卡 因 , 那 么 她 就 会 被 银行 检 
测 出 来 。 如 果 B 试图 把 同一 笔 数 字 现 金 存 人 两 个 不 同 账户 ,他 也 会 被 发 现 一 一 但 A 仍 保 
持 匿 名 。 

为 了 把 这 种 现金 与 带 审计 追踪 的 数字 现金 (如 信用 卡 ) 相 区 别 , 有 时 把 它 叫 做 匿名 数 
字 现 金 。 这 类 东西 有 很 大 的 社会 需求 。 随 着 网 上 商业 交易 的 发 展 ,商业 上 日 益 需 要 更 多 
的 称 为 网 络 隐私 和 网 络 匿 名 的 东西 。 比 如 ,人 们 有 很 好 的 理由 不 愿意 通过 互联 网 传送 他 
们 的 信用 卡号 。 

男 一 方面 ,银行 和 政府 似乎 不 愿 放弃 目前 银行 系统 提供 的 审计 追踪 控制 。 但是, 最终 
他 们 不 得 不 放弃 。 一 些 可 信赖 的 机 构 愿 意 将 数字 现金 转换 为 真正 的 现金 ,所 有 银行 也 都 
将 提供 数字 现金 服务 。 

数字 现金 协议 非常 复杂 。 我 们 将 一 步 一 步 来 构建 一 个 。 要 认识 到 这 只 是 一 个 数字 现 
金 协 议 ,还 有 其 他 的 。 


6.3.6.1 匿名 汇票 协议 


第 一 个 协议 是 一 个 有 关 匿 名 汇票 的 简单 化 的 物理 协议 : 

(1) A 准备 了 100 张 1000 美元 的 匿名 汇票 。 

(2) A 把 每 张 汇 票 和 一 张 复写 纸 放 进 100 个 不 同 信 封 内 ,她 把 这 些 全 部 交 给 银行 。 

G) 银行 开启 99 个 信封 并 确认 每 个 都 是 一 张 1000 美元 的 汇票 。 

(4) 银行 在 余下 的 一 个 未 开启 的 信封 上 签名 ,签名 通过 复写 纸 印 到 汇票 上 。 银 行 把 
这 个 未 开启 的 信封 交还 A, 并 从 她 的 账户 上 扣除 1000 美元 。 

(5) A 打开 信封 并 在 一 个 商人 处 花 掉 了 这 张 汇 票 。 

(6) 商人 检查 银行 的 签名 以 确认 这 张 汇 票 是 合法 的 。 

(7) 商人 拿 着 这 张 汇 票 到 银行 。 

(8) 银行 验证 它 的 签名 并 把 1000 美元 划 入 这 个 商人 的 账户 。 

这 个 协议 可 以 起 作用 。 银 行 从 未 看 到 自己 签 的 那 张 汇票 . 故 当 这 个 商人 把 它 带 到 银 
行 时 ,银行 不 知道 它 是 A 的 。 因 为 这 个 签名 的 缘故 银行 还 是 相信 它 有 效 。 银 行 相 信 未 开 
启 的 汇 单 是 1000 美元 的 , 那 是 因为 采用 分 割 选择 协议 的 缘故 。 关 于 分 割 选择 协议 可 参考 
4. 6 节 的 详细 介绍 。 银 行 验证 了 其 他 99 个 信封 , 故 A 仅 有 1% 的 机 会 欺骗 银行 。 

当然 ,银行 对 于 欺诈 将 进行 足够 严厉 的 惩罚 ,以 致 于 欺诈 与 成 功 的 机 会 相 比 是 不 值 的 。 


6.3.6.2 抗 双重 花费 协议 


匿名 汇票 协议 防止 了 A 在 一 张 汇 票 上 写 人 比 她 宣称 的 更 多 的 钱 , 但 它 没有 防止 A 将 
这 张 汇票 复制 并 两 次 花 掉 它 。 
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这 叫做 “双重 花费 问题 ”。 

为 了 解决 这 个 问题 ,需要 一 个 复杂 的 协议 : 

(1) A 准备 100 张 每 张 1000 美元 的 匿名 汇票 。 在 每 一 张 汇 票 上 包含 了 一 个 不 同 且 
随机 的 唯一 的 长 字符 串 ,字符 串 长 到 足以 使 另 一 个 人 也 用 它 的 机 会 变 得 微乎其微 。 

(2) A 把 每 张 汇票 都 和 一 张 复写 纸 一 起 装 人 100 个 不 同 的 信封 ,并 把 它们 全 交 给 
银行 。 
(3) 银行 开启 99 个 信封 并 确认 每 张 都 是 一 个 1000 美元 的 汇票 ,而 且 所 有 随机 唯一 
字符 串 都 是 不 同 的 。 

(4) 银行 在 余下 的 一 个 未 开启 的 信封 上 签名 ,签名 通过 复写 纸 印 到 汇票 上 上。 银行 把 
这 个 未 开启 的 信封 交 回 A, 并 从 她 的 账户 上 扣除 1000 美元 。 

(5) A 打开 信封 并 在 一 个 商人 处 花 掉 这 张 汇票 。 

(6) 这 个 商人 检查 银行 的 签名 以 确认 汇票 是 合法 的 。 

(7) 这 个 商人 拿 着 这 张 汇票 来 到 银行 。 

(8) 银行 验证 它 的 签名 ,并 检查 它 的 数据 库 以 确认 有 相同 的 唯一 字符 串 的 汇票 先前 
没有 存 过 。 如 果 没 有 存 过 ,银行 把 1000 美元 划 到 这 个 商人 的 账 上 。 银 行 在 一 个 数据 库 中 
记录 这 个 随机 字符 串 。 

O) 如 果 它 先前 存 过 ,银行 不 接受 这 张 汇票 。 

现在 ,如 果 A 试图 使 用 这 张 汇票 的 影印 件 ,或 者 如 果 这 个 商人 试图 用 这 张 汇 票 的 影 
印 件 存款 ,银行 都 会 发 现 。 


6.3.6.3 防 欺 骗 协议 


前 面 的 协议 保护 了 银行 不 受 欺骗 者 的 欺骗 ,但 它 没有 识别 出 这 些 欺骗 者 。 银 行 不 知 
道 是 买 这 张 汇票 的 人 (银行 不 知道 是 A) 试 图 欺骗 这 个 商人 或 者 是 这 个 商人 试图 欺骗 
银行 。 

这 个 协议 纠正 如 下 : 

(1) A 准备 了 100 张 每 张 1000 美元 的 匿名 汇票 。 在 每 一 张 汇 票 上 包含 了 一 个 不 同 
的 唯一 的 随机 字符 串 ,字符 串 长 到 足以 使 男 一 个 人 也 用 它 的 机 会 变 得 微乎其微 。 

(2) A 把 每 张 汇 票 都 和 一 张 复写 纸 一 起 装 入 100 个 不 同 的 信封 ,并 把 它们 全 交 给 
银行 。 
(3) 银行 开启 其 中 99 个 信封 并 确认 每 张 都 是 一 个 1000 美元 的 汇票 ,而 且 所 有 随机 
字符 串 都 是 不 同 的 。 

(4) 银行 在 余下 的 一 个 未 开启 的 信封 上 签名 ,签名 通过 复写 纸 印 到 汇票 上 。 银 行 把 
这 个 未 开启 的 信封 交 回 A, 并 从 她 的 账户 上 扣除 1000 美元 。 

(5) A 打开 信封 并 在 一 个 商人 处 花 掉 了 这 张 汇票 。 

(6) 这 个 商人 检查 银行 的 签名 以 确认 汇票 是 合法 的 。 

(7) 商人 要 求 A 在 汇票 上 写 一 个 随机 识别 字符 串 。 

(8) A 同意 。 

O) 这 个 商人 拿 着 这 张 汇票 来 到 银行 。 
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(10) 银行 验证 签名 并 检查 它 的 数据 库 以 确认 具有 相同 唯一 字符 串 的 汇票 先前 没有 
存 过 。 如 果 没 有 ,银行 把 1000 美元 划 归 商人 的 账 上 。 银 行 在 一 个 数据 库 中 记 下 这 个 唯一 
字符 串 和 识别 字符 串 。 

aD 如 果 这 个 唯一 字符 串 在 数据 库 中 ,银行 拒 收 这 张 汇票 。 接 着 , 它 将 汇票 上 的 识 
别 字 符 串 同 存在 数据 库 中 的 识别 字符 串 比较 。 如 果 相 同 ,银行 知道 这 个 商人 影印 了 这 张 
汇票 。 如 果 不 同 ,银行 知道 买 这 张 汇 票 的 人 影印 了 它 。 

这 个 协议 假设 ,一 旦 A 在 汇票 上 写 上 这 个 识别 字符 串 ,那个 商人 就 不 能 改变 它 。 汇 
票 可 能 有 一 系列 小 方 格 ,这 个 商人 会 要 求 A 用 X 或 O 填充 这 些小 方 格 。 汇票 是 用 如 果 
要 抹 去 字迹 就 会 抹 坏 的 纸 做 成 。 

由 于 商人 和 银行 之 间 的 交互 作用 发 生 在 A 花 钱 之 后 , 故 这 个 商人 可 能 和 一 张 空头 汇 
票 牵连 在 一 起 。 这 个 协议 的 具体 实现 可 以 要 求 A 在 商人 与 银行 交互 期 间 在 柜台 前 等 着 ， 
很 像 是 今天 的 信用 卡 交易 操作 的 方式 。 

A 可 能 会 试图 陷害 这 个 商人 。 她 可 以 第 二 次 花 一 张 汇 票 的 复制 ,在 步骤 (7) 中 给 一 
个 同样 的 识别 字符 串 。 如 果 这 个 商人 不 保存 一 个 已 收 到 的 汇票 的 数据 库 , 他 就 遭 到 陷害 。 
下 面 要 讲 的 抗 抵赖 协议 能 消除 这 个 问题 。 


6.3.6.4 抗 抵 赖 的 协议 


如 果 证 明 是 买 汇票 的 人 试图 欺骗 这 个 商人 ,银行 会 希望 知道 那个 人 是 谁 。 为 了 做 到 
这 一 点 ,要 求 在 实际 模拟 中 利用 进入 密码 技术 。 

秘密 分 割 技术 可 以 用 来 在 数字 汇票 中 隐藏 A 的 名 字 。 

(1) A 对 给 定数 量 的 美元 准备 n 张 匿名 汇票 。 每 张 汇票 都 包含 了 一 个 不 同 的 随机 唯 
一 字符 串 X,X 有 足够 长 ,足以 使 得 有 两 个 字符 串 相同 的 机 会 微乎其微 。 

在 每 一 张 汇票 上 也 有 n 对 认证 比特 字符 串 L,I,…,I,。 这 些 字符 串 对 中 ,每 一 个 都 
是 按 如 下 产生 的 : A 建立 一 个 由 她 的 名 字 、 地 址 以 及 任何 其 他 银行 希望 见 到 的 认证 信息 
组 成 的 字符 串 。 接 着 ,她 用 秘密 分 割 协议 将 它 分 成 两 部 分 ,关于 秘密 分 割 协议 在 前 面 4. 6 
节 中 已 作 了 详细 介绍 。 然 后 ,她 使 用 一 种 比特 提交 协议 提交 每 一 部 分 。 

例如 ,Ts 由 两 部 分 组 成 : br 和 Tory 。 每 一 部 分 都 是 一 个 可 以 要 求 A 打开 的 比特 承诺 
分 组 ,其 正确 打开 与 否 也 可 以 立即 验证 。 任 何 对 如 1, 和 Tar, ,但 不 是 15, 和 Tas, 都 会 揭示 
A 的 身份 。 

每 张 汇票 看 起 来 像 这 个 样子 : 

总 数 

唯一 字符 串 : X 

认证 字符 串 : 开 一 (Du,DR) 


kL = Clr + Ter) 


Ia = C+ Tar) 
(2) A 用 盲 签名 协议 隐蔽 所 有 n 张 汇 票 。 并 全 部 交 给 银行 。 
(3) 银行 要 求 A 恢复 出 随机 的 n 一 1 张 汇票 ,并 确认 它们 都 是 合法 的 。 银 行 检查 总 
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数 、 唯 一 字符 串 并 要 求 A 出 示 所 有 认证 字符 串 。 

(4) 如 果 银 行 对 A 没有 任何 进行 欺骗 的 企图 感到 满意 ,就 在 余下 的 一 张 隐蔽 汇票 上 
签名 。 银 行 把 这 张 隐蔽 汇票 交 回 A, 并 从 她 的 账户 上 扣除 这 笔 钱 。 

(5) A 恢复 这 张 汇 票 , 并 在 一 个 商人 那里 花 掉 它 。 

(6) 商人 验证 银行 的 签名 以 确认 这 张 汇票 是 合法 的 。 

(7) 商人 要 求 A 随机 按 汇票 上 每 个 认证 字符 串 的 左 半 或 右 半 。 实 际 上 ,商人 给 A 
一 个 随机 的 n 比特 选择 字符 串 ,bi ,bs,…,b,。。A 根据 b; 是 0 还 是 1 公开 的 左 半 或 
右 半 。 

(8) A 同意 。 

O) 商人 拿 着 这 张 汇 票 来 到 银行 。 

(10) 银行 验证 这 个 签名 并 检查 它 的 数据 以 确认 有 相同 唯一 字符 串 的 汇票 先前 没有 
存 过 。 如 果 没 有 ,银行 把 这 笔 钱 划 到 商人 的 账 上 。 银 行 在 它 的 数据 库 中 记 下 这 个 唯一 字 
符 串 和 所 有 识别 信息 。 

C11) 如 果 这 个 唯一 字符 串 在 数据 库 中 ,银行 就 拒 收 汇票 。 接 着 , 它 把 汇票 上 的 识别 
字符 串 同 它 数据 库 中 存 的 相 比 较 。 如 果 相 同 ,银行 知道 是 商人 复制 了 汇票 。 如 果 不 同 , 银 
行 知道 是 买 汇票 的 人 影印 了 它 。 由 于 接收 这 张 汇票 的 第 二 个 商人 交 给 A 一 个 和 第 一 个 
商人 不 同 的 选择 字符 串 ,银行 找 出 一 个 比特 位 ,在 这 个 比特 位 上 ,一 个 商人 让 A 公开 了 左 
半 ,而 另 一 个 商人 让 A 公开 了 右 半 。 银 行 异 或 这 两 半 以 揭露 A 的 身份 。 

这 是 一 个 相当 迷人 的 协议 ,下 面 让 我 们 从 不 同 角度 来 看 看 它 。 

A 能 进行 欺骗 吗 ? 她 的 数字 汇票 不 过 是 一 个 比特 字符 串 , 所 以 可 以 复制 它 。 第 一 次 
花 它 不 会 有 问题 ,她 只 需 完成 协议 , 则 一 切 进展 顺利 。 商 人 在 步骤 (7) 中 给 她 一 个 随机 的 
n 比特 选择 字符 串 ,并 且 A 在 步骤 (8) 中 将 公开 每 个 下 的 左 半 或 右 半 。 在 步骤 (10) 中 , 银 
行将 记录 所 有 这 些 数据 ,连同 汇票 的 唯一 字符 串 。 

当 她 试图 第 二 次 使 用 同一 张 数字 汇票 时 ,商人 (同一 个 商人 或 另 一 商人 ) 将 在 步骤 (7) 
中 给 她 一 个 不 同 的 随机 选择 字符 串 。A 必须 在 步骤 (8) 中 同意 ; 不 这 样 做 势必 立即 提醒 
商人 有 些 事 值得 怀疑 。 现 在 , 当 这 个 商人 在 步骤 (10) 中 将 汇票 带 到 银行 时 ,银行 会 立即 发 
现 带 相同 唯一 字符 串 的 汇票 已 经 存 过 。 银 行 接着 比较 认证 字符 串 中 所 有 公开 的 部 分 。 两 
个 随机 选择 字符 串 相同 的 机 会 是 2* 分 之 一 ,在 下 一 个 汇 期 前 是 不 可 能 发 生 的 。 现 在 , 银 
行 找 出 这 样 一 对 ,其 中 一 半 第 一 次 公开 , 另 一 半 第 二 次 公开 。 它 把 这 两 半 一 起 异 或 ,马上 
得 到 A 的 名 字 , 于 是 银行 知道 谁 试图 两 次 花 这 一 张 汇票 。 

应 当 指 出 ,这 个 协议 不 能 让 A 不 进行 欺骗 ,但 它 几乎 肯定 能 检测 到 A 的 欺骗 。 如 果 
A 进行 欺骗 ,她 不 可 能 不 暴露 身份 。 她 不 可 能 改变 唯一 字符 串 或 任何 识别 字符 串 ,因为 
此 时 银行 的 签名 不 再 有 效 。 这 个 商人 将 在 步骤 (6) 中 马上 发 现 这 点 。 

A 可 能 试图 偷 一 张 空 头 汇票 骗 过 银行 ,这 张 汇票 上 的 识别 字符 串 不 会 泄露 她 的 名 
字 ,或 最 好 是 一 张 其 识别 字符 串 汇 露 其 他 人 和 名字 的 汇票 。 她 在 步 又 (3) 中 进行 这 种 其 诈骗 
过 银行 的 机 会 是 n 分 之 一 。 这 些 并 非 是 不 可 能 的 机 会 ,但 如 果 作 出 的 惩罚 足够 严厉 的 话 ， 
A 不 敢 以 身 试 法 。 或 者 :可 以 增加 A 在 步骤 (1) 中 制作 的 多 余 汇票 的 数目 。 

这 个 商人 能 进行 欺骗 吗 ? 他 的 机 会 更 小 。 他 不 能 将 这 张 汇票 存 两 次 ; 银行 将 会 发 现 
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选择 字符 串 被 重复 使 用 。 他 不 能 捏造 陷害 A, 只 有 A 才能 打开 任意 识别 字符 串 。 

甚至 A 和 商人 合谋 也 不 能 欺骗 银行 。 一 旦 银行 在 带 唯一 字符 串 的 汇票 上 签名 ,银行 
就 确认 只 能 使 用 这 张 汇 票 一 次 。 

银行 又 怎样 呢 ? 它 能 不 能 知道 从 商人 那儿 收 到 的 汇票 是 它 为 A 签 的 那 张 呢 ? 在 步 
又 (2) 一 步骤 (5) 中 的 盲 签 名 协议 保护 了 A。 银 行 无 法 作出 判断 ,即使 它 保留 了 每 次 交易 
的 完整 记录 ,银行 和 商人 在 一 起 也 无 法 知道 A 是 谁 。A 可 以 走 进 商店 并 且 完全 匿名 地 购 
买 东西 。 

E 可 以 进行 欺骗 。 如 果 她 能 窃听 A 和 商人 之 间 的 通信 ,并 能 在 商人 到 银行 之 前 先 到 
银行 ,她 就 能 第 一 个 把 这 笔 数 字 现 金 存 人 她 的 账户 。 银 行将 会 接受 ,甚至 当 商 人 试图 去 存 
入 数字 现金 时 他 会 被 认为 是 一 个 欺骗 者 。 如 果 下 偷 到 数字 现金 并 在 A 之 前 花 掉 它 ,那么 
A 会 被 认为 是 一 个 欺骗 者 。 没 有 办 法 防止 这 种 情况 ; 它 是 现金 匿名 的 直接 后 果 。 当 他 们 
要 使 用 纸币 时 ,A 和 商人 都 必须 保护 好 他 们 的 每 一 比特 信息 。 

这 个 协议 是 介 于 被 仲裁 协议 和 一 个 自我 执行 协议 之 间 的 协议 。A 和 商人 都 相信 和 银 
行 能 兑现 汇票 ,但 A 不 必 信 任 知道 她 购物 的 银行 。 


6.3.6.5 数字 现金 与 犯罪 


数字 现金 也 有 它 不 利 的 一 面 。 有 时 人 们 并 不 需要 那么 多 的 隐私 。 看 看 下 面 的 例子 中 
A 进行 的 高 明 犯 罪 : 

(1) A 绑架 了 一 个 婴儿 。 

(2) A 准备 了 10 000 张 匿 名 汇票 ,每 张 面额 1000 美元 。 

(3) A 用 盲 签 名 协议 隐藏 所 有 10 000 张 汇 票 . 她 把 它们 送 给 当局 并 威胁 除非 按 下 列 
指示 去 做 ,否则 要 杀 死 婴儿 : 

D 让 银行 签 所 有 的 10 000 张 汇 票 。 

© 在 报纸 上 公布 结果 。 

(4) 当局 同意 。 

(5) A 买 了 一 张 报 纸 ,恢复 那些 汇票 .并 开始 花 这 些 钱 。 当 局 没有 办 法 靠 追 踪 这 些 汇 
票 来 抓 到 她 。 

(6) A 放 了 这 个 婴儿 。 

注意 : 这 种 情况 比 任何 涉及 实际 特征 的 情况 更 麻烦 。 因 为 缺乏 物理 接触 ,警察 很 难 
有 机 会 抓 住 绑架 者 。 

虽然 如 此 ,数字 现金 对 犯罪 分 子 来 说 也 算 不 上 理想 。 问 题 是 匿名 只 有 一 种 方式 奏效 : 
消费 者 是 匿名 而 商人 不 是 。 而 且 , 商 人 不 能 隐藏 他 收 到 钱 的 事实 。 

数字 现金 使 政府 容易 知道 某 人 挣 了 多 少 钱 , 但 很 难 知道 他 把 钱 花 在 什么 上 。 


6.3.6.6 ”其 他 数字 现金 协议 


还 有 一 些 数 字 现 金 协议 ,涉及 到 相当 复杂 的 数学 问题 。 
通常 ,各 种 数字 现金 协议 可 以 分 为 不 同 种 类 。 在 线 式 系 统 需 要 商人 在 每 次 销售 时 和 
银行 联系 ,很 像 今天 的 信用 卡 协 议 。 如 果 有 问题 ,银行 不 会 接受 数字 现金 ,A 不 能 行 骗 。 
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脱 线 式 系统 ,如 抗 抵赖 协议 ,直到 商人 与 顾客 交易 之 后 它 都 不 需要 商人 和 银行 之 间 
的 通信 。 这 类 系统 可 以 发 现 A 行 骗 但 不 能 防止 A 行 骗 。 抗 抵赖 协议 中 可 以 通过 验证 
A 的 身份 知道 她 是 否 试 图 欺骗 来 发 现 她 的 欺骗 。A 知道 这 种 情况 会 出 现 , 因 此 她 不 会 
欺骗 。 

另 一 种 方法 是 制造 一 个 特定 的 智能 卡 , 它 包含 一 个 叫做 “观察 者 ”的 防 自 改 芯片 。“ 观 
察 者 ”芯片 保存 一 个 所 有 关于 智能 卡 上 花 掉 的 数字 现金 信息 的 袖珍 数据 库 。 如 果 A 企图 
复制 数字 现金 并 再 次 花 掉 它 ,这 个 组 入 在 内 的 “观察 者 ”芯片 就 会 发 现 并 禁止 交易 。 因 为 
“观察 者 ”芯片 是 防 算 改 的 ,人 A 不 能 抹 掉 袖珍 数据 库 , 除 非 永 久 性 的 损坏 智能 卡 。 数 字 现 
金 以 它 自己 的 方式 在 经 济 领 域 中 流通 ; 当 它 最 终 存 人 银行 时 ,银行 可 以 检查 数字 现金 并 
发 现 是 否 有 人 进行 欺骗 以 及 谁 在 进行 欺骗 。 

数字 现金 协议 也 可 以 被 分 在 另 一 类 。 电 子 货币 有 固定 的 价值 ; 使 用 这 个 系统 的 人 们 
需要 若干 不 同 面额 的 硬币 。 电 子 支票 可 以 用 在 任何 数量 直到 最 大 值 上 ,然后 作为 退 款 返 
回 没 有 用 完 的 部 分 。 

Tatsuaki Okamoto 和 Kazuo Ohta 列 出 了 一 个 理想 数字 现金 系统 的 6 个 性 质 : 

(1) 独立 性 。 数 字 现金 的 安全 性 不 依赖 于 任何 物理 位 置 。 现 金 能 通过 网 络 传送 。 

(2) 安全 性 。 数 字 现 金 不 能 复制 和 重用 。 

(3) 隐私 性 (不 可 追踪 性 )。 用 户 的 隐私 受到 保护 ,没有 人 能 追踪 发 现 用 户 和 他 们 所 
购物 之 间 的 关系 。 

CA) 脱 线 付 款 。 当 一 个 用 户 用 电子 现金 为 所 购物 付款 时 ,用 户 和 商人 之 间 的 协议 是 
脱 线 执行 的 。 那 就 是 说 ,商店 不 必 与 一 台 主 机 相连 以 处 理 用 户 的 付款 。 

(5) 可 转移 性 。 数 字 现 金 可 转移 给 其 他 用 户 。 

(6) 可 分 性 。 给 定数 量 的 数字 现金 能 分 成 较 小 数额 的 几 份 数字 现金 (当然 ,每 份 加 起 
来 总 数 还 是 那么 多 ) 。 

上 面 讨论 的 协议 满足 性 质 (1)、 2)、(3) 和 (4) ,但 不 满足 性 质 (5) 和 (6)。 还 有 一 些 满 
足 除 性 质 (4) 以 外 的 所 有 性 质 的 在 线 式 数字 现金 系统 。 


6.3.6.7 匿名 信用 卡 


这 个 协议 用 在 若干 不 同 的 银行 以 保护 顾客 的 身份 。 每 一 位 顾客 在 两 个 不 同 银行 拥有 
一 个 账户 ,第 一 个 银行 知道 此 人 的 身份 并 愿意 发 给 他 信用 卡 , 第 二 个 银行 仅仅 知道 他 的 假 
名 (类 似 于 瑞士 银行 的 账号 ) 。 

顾客 可 以 通过 证 明 账 户 是 他 的 ,从 第 二 个 银行 取出 资金 。 但 是 ,银行 不 知道 这 个 人 ， 
也 不 愿 发 给 他 信用 卡 。 第 一 个 银行 知道 这 个 顾客 并 转账 给 第 二 个 银行 (用 不 着 知道 假 
名 )。 然 后 顾客 就 可 以 匿名 地 使 用 这 笔 资金 。 在 月 末 , 第 二 个 银行 给 第 一 个 银行 一 份 账 
单 ,这 是 银行 真正 应 该 支付 的 。 第 一 个 银行 把 顾客 应 该 支付 的 账单 送 给 顾客 。 当 顾客 付 
账 后 ,第 一 个 银行 把 附加 资金 转账 到 第 二 个 银行 。 

所 有 交易 都 是 通过 一 个 中 间 媒 介 处 理 的 ,就 像 电子 联邦 储备 所 做 的 那样 : 在 银行 之 
间 结 算账 目 , 登 记 消息 并 产生 审计 追踪 。 

除非 每 个 人 都 串通 起 来 陷害 顾客 .顾客 的 匿名 是 可 以 保证 的 。 然 而 ,这 不 是 数字 现 
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金 ; 银行 很 容易 进行 欺骗 。 这 个 协议 使 顾客 在 不 泄露 隐私 的 情况 下 保护 其 信用 卡 的 


6.4 公 和 钥 基 础 设施 


公 钥 基础 设施 (public key infrastructure, PKID) 是 一 个 包括 硬件 .软件 、 人 员 、 政 策 和 
手续 的 集合 ,实现 了 基于 公 钥 密码 体制 的 证 书 产生 、 管 理 存储 发行 和 作废 等 功能 。 

PKI 采用 了 证 书 管理 公 钥 .通过 第 三 方 的 可 信任 机 构 认 证 中 心 , 把 用 户 的 公 钥 和 用 户 
的 其 他 标识 信息 捆绑 在 一 起 ,在 Internet 上 验证 用 户 身 份 。PKI 基础 设施 把 公 钥 密码 和 
对 称 密码 结合 起 来 ,在 Internet 上 实现 密 钥 的 自动 管理 ,保证 网 上 数据 的 安全 传输 。 

PKI 工作 组 给 PKI 的 定义 是 : 一 组 建立 在 公开 密 钥 算法 基础 上 的 硬件 、 软 件 、 人 员 和 
应 用 程序 的 集合 , 它 应 具备 产生 管理、 存储 、 分 发 和 废止 证 书 的 能 力 。 一 个 典型 的 PKI 
体系 结构 包括 认证 中 心 CA 注册 机 构 RA 证书 挂 有 者 、 应 用 程序 存储 仓库 5 个 组 成 部 
分 。 完 整 的 PKI 包括 认证 政策 的 制定 、 认 证 规则 、 运 作 制 度 的 制定 、 所 涉及 的 各 方法 律 关 
系 内 容 以 及 技术 的 实现 。 


6.4.1 PKI 的 体系 结构 


由 以 下 5 个 基本 部 分 组 成 。 

A) 认证 机 构 (certificate authority, CA): 是 受信 任 的 证 书签 发 机 构 , 是 PKI 体系 的 
核心 。CA 负责 为 PKI 体系 中 所 有 实体 发 放 证 书 , 更 新 证 书 ,废除 发 放 的 证 书 。 

(2) 证 书库 : 集中 CA 发 布 的 所 有 证 书 。 提 供 方 便 , 高 效 的 证 书 查询 功能 。 方 便 用 户 
查找 其 他 用 户 证 书 。 通 常 采 用 支持 LDAP 协议 的 目录 服务 系统 来 发 布 证 书 。 

(3) 密 钥 备 份 及 恢复 系统 : 对 于 由 CA 代为 生成 的 密 钥 对 ,可 以 在 用 户 授权 的 情况 下 
为 用 户 备 份 密 钥 。 在 用 户 证 书 损坏 或 遗失 时 ,可 以 给 用 户 恢复 密 钥 。 密 钥 备 份 与 恢复 应 
该 只 针对 解密 密 钥 ,而 不 能 用 在 签名 密 钥 。 

(4) 证 书 作废 处 理 系统 : 在 用 户 证 书 遗 失 ,泄密 等 情况 下 ,需要 证 书 作废 系统 及 时 把 
证 书 作废 信息 发 布 出 去 ,把 用 户 的 损失 减 到 最 小 。CA 一 般 通 过 发 布 证 书 废除 列表 
(CRL) 来 发 布 作废 信息 。CRL 是 由 CA 签名 的 一 组 电子 文档 ,包括 被 废除 证 书 的 唯一 标 
识 ( 证 书 序列 号 ) 。 

(5) 应 用 接口 系统 : PKI 的 价值 在 于 使 用 户 能 够 方便 使 用 加 密 、 数 字 签 名 等 安全 服 
务 ,因此 一 个 完整 的 PKI 必须 提供 良好 的 应 用 接口 系统 ,使 得 各 种 各 样 的 应 用 能 够 以 安 
全 .一致 ,可 信 的 方式 与 PKI 交互 :确保 所 建立 起 来 的 网 络 环境 的 可 信 性 ,同时 降低 管理 
维护 成 本 。PKI 应 用 接口 系统 应 该 是 跨 平 台 的 。 

PKI 的 主要 目的 是 通过 自动 管理 密 钥 和 证 书 , 为 用 户 建立 起 一 个 安全 的 网 络 运行 环 
境 , 使 用 户 可 以 在 多 种 应 用 环境 下 方便 地 使 用 加 密 和 数字 签名 技术 ,从 而 保证 网 上 数据 的 
机 密 性 、 完 整 性 有 效 性 。 数 据 的 机 密 性 是 指数 据 在 传输 过 程 中 ,不 能 被 非 授 权 者 偷 看 ; 
数据 的 完整 性 是 指数 据 在 传输 过 程 中 不 能 被 非法 算 改 ; 数据 的 有 效 性 是 指数 据 不 能 被 
否认 。 
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一 个 有 效 的 PKI 系统 必须 是 安全 的 和 透明 的 ,用 户 在 获得 加 密 和 数字 签名 服务 时 ， 
不 需要 详细 了 解 PKI 是 怎样 管理 证 书 和 密 钥 的 。 一 个 典型 .完整 有 效 的 PKI 应 用 系统 
必须 能 够 实现 以 下 功能 : 注册 、 发 证 、 密 钥 恢 复 、 密 钥 产 生 、 密 钥 更 新 、 交 又 认证 、 证 书 
BEE 

使 用 基于 公 钥 技术 系统 的 用 户 建立 安全 通信 信任 机 制 的 基础 是 : 网 上 进行 的 任何 需 
要 安全 服务 的 通信 都 是 建立 在 公 钥 基础 之 上 的 ,而 与 公 钥 成 对 的 私 钥 只 掌握 在 他 们 与 之 
通信 的 另 一 方 。 这 个 信任 的 基础 是 通过 公 钥 证 书 的 使 用 来 实现 的 。 公 钥 证 书 就 是 一 个 用 
户 的 身份 与 他 所 持 有 的 公 钥 的 结合 ,在 结合 之 前 由 一 个 可 信任 的 权威 认证 机 构 CA 来 证 
实用 户 的 身份 ,然后 由 其 对 该 用 户 身 份 及 对 应 公 钥 相 结 合 的 证 书 进行 数字 签名 ,以 证 明 其 
证 书 的 有 效 性 。 


6.4.2 PKI 的 基本 内 容 
由 第 三 方 信托 .认证 权威 和 证 书 构成 。 
1. 第 三 方 信托 


第 三 方 信托 指 的 是 在 某 种 情形 下 ,双方 在 毫 无 个 人 交往 的 情况 下 相互 信任 对 方 。 两 
个 陌生 人 如 果 同 时 和 某 个 第 三 方 有 交往 ,而 这 第 三 方 能 担保 这 两 个 互 不 相识 的 人 可 信任 ， 
那么 这 两 个 陌生 人 就 能 相互 信任 了 。 要 实现 任何 一 个 大 规模 的 网 络 安全 ,第 三 方 信托 是 
必需 的 基础 。 在 一 大 群 人 中 建立 第 三 方 信托 ,就 需要 建立 一 个 权威 来 确保 每 一 方 的 可 信 
性 。 在 公 钥 加 密 技术 中 ,第 三 方 一 半 是 人 为 的 , 另 一 半 是 自动 的 。 一 个 受信 赖 的 由 人 组 成 
的 权威 机 构 必 须 作出 谁 可 信赖 谁 不 可 信赖 的 决定 。 自 动 化 则 可 以 管理 实际 操作 中 的 信任 


2. 认证 权威 


一 个 认证 权威 机 构 是 一 个 受信 托 的 组 织 , 它 的 责任 就 是 确认 用 户 的 真实 性 。CA 的 
功能 有 些 像 一 个 政府 的 护照 办 公 室 。 护 照 是 一 个 公民 的 安全 文件 ,由 专门 的 权威 机 构 颁 
发 ,护照 能 证 实 该 公民 的 身份 ,是 持 照 人 的 纸 上 身 份 。 不 论 哪个 国家 ,只 要 相信 这 个 政府 
的 发 照 机 构 ,就 会 相信 这 个 公民 的 护照 。 这 就 是 第 三 方 信托 的 最 好 例子 。CA 颁发 的 一 
个 网 络 用 户 的 电子 身份 就 像 是 他 的 护照 一 样 ,能 证 明 这 个 用 户 得 到 了 这 个 CA 的 信任 。 
不 论 谁 只 要 相信 这 个 CA, 通 过 第 三 方 信托 ,同样 也 相信 这 个 用 户 。 一 个 护照 发 放 机 构 和 
一 个 CA 都 是 政策 和 实体 的 结合 。 作 为 护照 发 放 机 构 , 政 府 订 下 政策 ,决定 谁 是 公民 ,他 
们 怎样 才能 得 到 护照 。 同 样 ,也 可 以 把 CA 想像 成 一 个 组 织 ,这 个 组 织 既 决定 网 络 安全 的 
政策 ,又 决定 谁 能 在 这 个 组 织 的 网 络 中 得 到 电子 认证 。 


3. 证 书 


一 个 网 络 用 户 的 证 书 就 和 一 个 公民 的 护照 一 样 ,都 含有 可 证 明 持 有 人 身份 的 可 靠 信 
息 。 比 如 ,一 个 确认 证 书包 含 持 证 人 的 姓名 和 确认 的 公 钥 。 别 人 可 以 用 这 个 公 钥 来 验证 
该 公 钥 拥有 者 的 数字 签名 。 另 一 种 证 书 , 叫 加 密 证 书 , 包 含 着 拥有 者 的 加 密 公 钥 。 别 人 可 
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以 用 它 来 为 发 给 拥有 人 的 信 加 密 。 信 任 证 书 的 中 心 问题 就 是 证 书 里 的 信息 是 如 何 可 靠 保 
存 的 。 一 个 人 怎么 才能 相信 证 书 里 的 姓名 和 公 钥 真 的 属于 那个 证 书 的 拥有 者 ? 如 果 没 有 
信任 , 公 钥 加 密 证 书 就 不 能 成 立 。 只 有 信任 才能 向 人 保证 他 们 在 向 那个 真正 的 持 证 人 发 
送 加 密 信 件 ,或 者 确认 数字 签名 真 的 是 持 证 人 的 。 为 了 把 一 个 用 户 的 公 钥 和 其 他 信息 组 
合 在 一 起 ,并 建立 起 可 信 性 ,CA 用 自己 的 私有 签名 密 钥 给 这 个 证 书签 名 。CA 的 数字 签 
名 给 这 个 证 书 提供 3 个 重要 的 安全 和 信任 基础 。 

(1) 一 个 有 效 的 数字 签名 是 这 个 证 书 完整 性 的 保障 。 

(2) 既然 只 有 这 个 CA 才能 得 到 自己 的 签名 私有 密 钥 ,那么 ,只 要 证 实 了 证 书 上 的 
CA 签字 ,就 可 以 确认 只 有 这 个 CA 才能 产生 这 个 签名 。 

(3) 既然 只 有 这 个 CA 才能 得 到 自己 的 签名 私有 密 钥 ,那么 这 个 CA 就 不 能 否认 自己 
在 这 个 证 书 上 的 签名 。CA 的 许多 应 用 软件 和 服务 使 它 具 有 PKI 的 功能 。 在 此 情况 下 ， 
他 们 只 是 发 行 证 书 , 不 能 在 用 户 密 钥 和 证 书 的 有 效 期 内 管理 这 些 密 钥 和 证 书 。 这 就 导致 
了 成 本 的 增加 和 使 用 的 困难 。 

在 管理 PKI 中 ,证 书 和 密 钥 在 其 有 效 期 内 都 得 到 管理 。 密 钥 的 作废 和 更 新 都 是 自动 
的 。 管 理 PKI 提供 这 些 功能 确保 PKI 可靠 ,适应 性 强 , 易 用 ,费用 低 , 在 现实 网 络 安全 解 
决 方案 中 实际 可 行 。 


6.4.3 PKI 涉及 的 标准 与 协议 
从 整个 PKI 体系 的 建立 与 发 展 历程 来 看 ,与 PKI 相关 的 标准 主要 包括 以 下 内 容 。 
1. X.209(1988)ASN. 1 基本 编码 规则 的 规范 


ASN. 1 是 描述 在 网 络 上 传输 信息 格式 的 标准 方法 。 它 有 两 部 分 : 第 一 部 分 (ISO 
8824/ITUX. 208) 描 述 信息 内 的 数据 、 数 据 类 型 及 序列 格式 ,也 就 是 数据 的 语法 ; 第 二 部 
分 (ISO 8825/ITUX. 209) 描 述 如 何 将 各 部 分 数据 组 成 消息 ,也 就 是 数据 的 基本 编码 
规则 。 

ASN. 1 原来 是 作为 X. 409 的 一 部 分 而 开发 的 ,后 来 才 独 立成 为 一 个 标准 。 这 两 个 协 
议 除 了 在 PKI 体系 中 应 用 外 .还 广泛 应 用 于 通信 和 计算 机 的 其 他 领域 。 


2. X.500(1993) 信 息 技 术 之 开放 系统 互联 : 概念 、 模 型 及 服务 简 述 


X. 500 是 一 套 已 经 被 国际 标准 化 组 织 (ISO) 接 受 的 目录 服务 系统 标准 , 它 定义 了 一 
个 机 构 如 何在 全 局 范围 内 共享 其 名 字 和 与 之 相关 的 对 象 。X. 500 是 层次 性 的 ,其 中 的 管 
理 域 ( 机 构 、 分 支部 门 和 工作 组 ) 可 以 提供 这 些 域内 的 用 户 和 资源 信息 。 在 PKI 体系 中 ， 
X. 500 用 来 唯一 标识 一 个 实体 ,该 实体 可 以 是 机 构 、 组 织 、 个 人 或 一 台 服 务 器 。X. 500 被 
认为 是 实现 目录 服务 的 最 佳 途径 .但 K. 500 的 实现 需要 较 大 投资 ,并 且 比 其 他 方式 速度 
慢 ; 而 其 优势 具有 信息 模型 ,多 功能 和 开放 性 。 


3. X.509(1993) 信 息 技术 之 开放 系统 互联 : 鉴别 框架 


X. 509 是 由 国际 电信 联盟 (ITU-T) 制 定 的 数字 证 书 标准 。 在 X. 500 确保 用 户 名 称 
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唯一 性 的 基础 上 ,X. 509 为 X. 500 用 户 名 称 提供 通信 实体 的 鉴别 机 制 , 并 规定 实体 鉴别 
过 程 中 广泛 适用 的 证 书 语法 和 数据 接口 。 

X. 509 的 最 初版 本 公布 于 1988 年 。X. 509 证 书 由 用 户 公共 密 钥 和 用 户 标 识 符 组 成 。 
此 外 还 包括 版 本 号 、 证 书 序列 号 .CA 标识 符 、 签 名 算法 标识 、 签 发 者 名 称 、 证 书 有 效 期 等 
信息 。 这 一 标准 的 最 新 版 本 是 X. 509V3, 它 定义 了 包含 扩展 信息 的 数字 证 书 。 该 版 数 
字 证 书 提供 一 个 扩展 信息 字段 ,用 来 提供 更 多 的 灵活 性 及 特殊 应 用 环境 下 所 需 的 信息 
传送 。 


4. PKCS 系列 标准 


由 RSA 实验 室 制定 的 PKCS 系列 标准 ,是 一 套 针 对 PKI 体系 的 加 解密 、 签 名 、 密 钥 
交换 、 分 发 格式 及 行为 标准 ,该 标准 目前 已 经 成 为 PKI 体系 中 不 可 缺少 的 一 部 分 。 


5. OCSP 在 线 证 书 状态 协议 


OCSP (online certificate status protocol) 是 IETF 颁布 的 用 于 检查 数字 证 书 在 某 一 
交易 时 刻 是 否 仍然 有 效 的 标准 。 该 标准 提供 给 PKI 用 户 一 条 方便 快捷 的 数字 证 书 状态 
查询 通道 ,使 PKI 体系 能 够 更 有 效 、 更 安全 地 在 各 个 领域 中 广泛 应 用 。 


6. LDAP 轻 量 级 目录 访问 协议 


LDAP 规范 (RFC1487) 简 化 了 策 重 的 X. 500 目录 访问 协议 ,并 且 在 功能 性 、 数 据 表 
示 ,编码 和 传输 方面 都 进行 了 相应 的 修改 。1997 年 ,LDAP 第 3 版 本 成 为 互联 网 标准 。 
目前 ,LDAPV3 已 经 在 PKI 体系 中 被 广泛 应 用 于 证 书信 息 发 布 .CRL 信息 发 布 .CA 政策 
以 及 与 信息 发 布 相 关 的 各 个 方面 。 

除了 以 上 协议 外 ,还 有 一 些 构建 在 PKI 体系 上 的 应 用 协议 ,这 些 协议 是 PKI 体系 在 
应 用 和 普及 化 方面 的 代表 作 , 包 括 SET 协议 和 SSL 协议 。 

目前 ,PKI 体系 中 已 经 包含 众多 的 标准 和 标准 协议 ,由 于 PKI 技术 不 断 进步 和 完善 ， 
以 及 其 应 用 的 不 断 普 及 ,将 来 还 会 有 更 多 标准 和 协议 加 入 。 


6.4.4 国外 PKI/CA 体系 发 展 状 况 


作为 电子 商务 信息 安全 的 关键 技术 和 基础 技术 的 PKI/CA 技术 ,对 其 体系 的 研究 受 
到 各 国 重视 ,从 20 世纪 90 年 代 初 期 以 来 美国、 加拿大 、 英 国 、 德 国 、 日 本 和 新 加 坡 等 国 相 
继 开 展 了 可 信 第 三 方 认 证 体系 的 研究 和 建设 工作 。 以 美国 .加 拿 大 为 例 , 通 过 对 他 们 的 体 
系 结构 的 研究 ,可 以 从 中 得 到 一 些 启示 。 


6.4.4.1 美国 联邦 PKI 体系 结构 


1. 美国 联邦 PKI 体系 结构 的 描述 


美国 联邦 PKI 筹 委 会 成 立 于 1996 年 ,由 政府 信息 技术 服务 部 .国家 航空 航天 总 署 、 
国家 标准 技术 研究 所 、 国 家 安全 部 .国防 部 .交通 部 .财政 部 .农业 部 .劳动 统计 局 和 联邦 网 


第 6 章 实际 使 用 的 安全 协议 165 


络 委员 会 等 20 个 部 、 署 共同 组 建 而 成 。 它 与 联邦 首席 信息 官 委员 会 共同 致力 于 FPKI 体 
系 结构 的 研究 。 

联邦 PKI 支持 在 开放 的 网 络 如 Internet 上 安全 交易 ,用 于 保障 电子 政务 、 电 子 采 购 
的 信息 安全 和 实现 对 关键 网 络 设 备 的 保护 。 特 别 是 美国 联邦 PKI 能 帮助 美国 联邦 机 构 
与 其 他 联邦 机 构 ,各 级 政府 ,贸易 伙伴 (私有 性质 的 ) ,公众 机 构 之 间 进 行 电子 交易 。 然 而 ， 
美国 联邦 PKI 并 不 是 铁 板 一 块 , 它 是 自 下 而 上 建立 的 一 个 庞大 PKI 体系 。 

联邦 政府 首先 成 功 地 在 各 联邦 机 构 中 分 别 使 用 了 公开 密 钥 密码 技术 ,为 网 上 交易 提 
供 全 面 解决 方案 ,为 所 有 服务 颁发 和 管理 数字 证 书 : 登记 机 构 验 证 用 户 的 身份 ,认证 机 构 
负责 批准 证 书 , 颁 发 证 书 和 发 布 证 书 黑 名 单 , 密 钥 恢 复 机 构 能 恢复 遗失 的 私 钥 等 。PKI 产 
品 和 服务 的 多 样 性 为 机 构 的 广泛 用 途 提 供 支 持 , 从 而 有 效 地 提高 了 政府 机 构 的 工作 效率 ， 
降低 了 办 公 成 本 。 正 是 由 于 PKI 产品 和 服务 的 多 样 性 ,有 的 机 构 或 企业 可 能 会 购买 PKI 
产品 ,运行 他 们 自己 的 信任 域 ; 而 有 的 机 构 或 企业 可 能 购买 PKI 服务 ,造成 了 彼此 之 间 缺 
乏 互 操作 性 。 为 了 增强 国际 间 的 合作 ,提高 整体 竞争 力 ,解决 不 同 信 任 域 之 间 的 互 操作 性 
问题 ,联邦 政府 计划 联合 各 联邦 机 构 中 独立 的 PKI/CA 一 一 美国 国防 部 (department of 
defense, DoD) ,国家 标准 技术 研究 所 (national institute of standardsand technology. 
NIST) ,乔治 亚 州 技术 研究 所 (georgia tech research institute,GTRI) , 州 政府 和 地 方 政府 
等 共同 组 建 美国 联邦 PKI 体系 。 使 用 该 体系 可 以 使 信任 域 不 仅 局 限 在 本 信任 域 环境 中 ， 
而 且 也 可 以 使 信任 域 扩展 到 整个 联邦 政府 甚至 是 全 球 。 

该 体系 结构 主要 由 联邦 桥 认 证 机 构 (federal bridge CA,FBCA), 首 级 认证 机 构 
(principal CA, PCA) ,次 级 认证 机 构 (subordinate CA,SCA) 等 组 成 。 其 体系 结构 如 图 6-6 
所 示 。 


4 联邦 桥 CA ~~ pee 
首 级 CA 
© FCA 同 级 CA 交叉 认证 对 


O zx 级 cA 一 CA 域 的 信任 链 
图 6-6 美国 联邦 PKI 的 体系 结构 


从 图 6-6 中 可 以 看 到 联邦 PKI 的 体系 结构 中 没有 使 用 根 CA 的 概念 ,取而代之 的 是 
首 级 CA。 这 是 因为 在 美国 信任 域 的 结构 是 多 种 多 样 的 .联邦 PRI 体系 结构 可 以 支持 分 
级 ( 树 状 ) 结 构 、 网 状 结构 和 信任 列表 等 ,而 只 有 树 状 结构 中 的 首 级 CA 才 称 作 根 CA. Al 
此 它 允 许 加 入 联邦 PKI 体系 中 的 机 构 使 用 任何 结构 的 PKI 信任 域 。 联 邦 桥 CA 是 联邦 
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PKI 体系 中 的 核心 组 织 , 是 不 同 信 任 域 之 间 的 桥梁 CA, 主 要 负责 为 不 同 信任 域 的 首 级 
CA 颁发 交叉 认证 的 证 书 , 建 立 各 个 信任 域 的 担保 等 级 与 联邦 桥 CA 的 担保 等 级 之 间 的 
一 一 映射 关系 ,更 新 交叉 认证 证 书 , 发 布 交叉 认证 证 书 , 注 销 黑 名 单 。 但 是 , 它 不 要 求 一 个 
机 构 在 与 另 一 个 机 构 发 生 信 任 关 系 时 必须 遵循 联邦 PKI 所 确定 的 这 种 映射 关系 ,而 是 可 
以 采用 它 认 为 合适 的 映射 关系 确定 彼此 之 间 的 信任 。 


2. 联邦 PKI 体系 结 构 的 工作 原理 


联邦 PKI 体系 结构 的 工作 原理 实际 上 就 是 指 联 邦 桥 CA 的 工作 原理 。 联 邦 桥 CA 不 
是 一 个 树 状 结构 的 CA ,也 不 像 网 状 CA , 它 不 直接 向 用 户 颁 发 证 书 ; 不 像 根 CA 一 样 成 为 
一 个 信任 点 , 它 只 是 一 个 单独 的 CAs 它 与 不 同 的 信任 域 之 间 建 立 对 等 的 信任 关系 ,允许 
用 户 保留 他 们 自己 的 原始 信任 点 。 正 如 我 们 在 网 络 中 所 使 用 的 “HUB” 一 样 ,任何 结构 类 
型 的 PKI 结构 都 可 以 通过 这 个 机 构 连 接 在 一 起 ,实现 彼此 之 间 的 信任 ,并 将 每 一 个 单独 
的 信任 域 通过 联邦 桥 PKI 扩展 到 整个 联邦 PKI 体系 中 。 

在 进行 网 上 交易 时 , 当 接收 者 接收 到 发 送 者 数字 签名 的 电子 文件 时 ,为 了 验证 签名 的 
有 效 性 ,接收 者 的 应 用 软件 必须 做 3 件 事 : 

A) 接收 者 的 软件 必须 确定 发 送 者 的 信任 域 和 接收 者 的 信任 域 之 间 是 否 存 在 信任 关 
系 , 这 可 以 通过 建立 两 个 信任 域 之 间 的 证 书 “ 信 任 路 径 ” 来 实现 。 

(2) 接收 者 必须 确定 发 送 者 证 书 中 所 描述 的 政策 即 证 书包 含 的 担保 级 别 满足 本 次 交 
易 的 需要 。 

(3) 确定 在 这 个 信任 路 径 中 ,所 有 证 书 都 必须 是 有 效 的 , 即 它 们 既 没 有 超过 有 效 期 ， 
也 没有 被 注销 。 如 果 接 收 者 和 发 送 者 是 在 相同 的 信任 域 ,以 上 3 个 步骤 将 简单 明了 地 执 
行 , 因 为 ,处 于 同一 个 信任 域 中 的 两 个 用 户 有 相同 的 信任 点 和 相同 证 书 政策 。 如 果 接 收 者 
的 信任 域 和 发 送 者 的 信任 域 是 不 同 的 ,这 种 情况 就 非常 复杂 , 它 可 以 借助 联邦 桥 CA 建立 
信任 路 径 。 在 联邦 桥 CA 与 不 同 信任 域 中 的 首 级 CA 进行 交叉 认证 时 ,联邦 桥 CA 颁发 
的 证 书 中 包含 了 联邦 桥 CA 的 担保 等 级 与 首 级 CA 的 担保 等 级 之 间 的 一 一 映射 关系 。 借 
助 这 种 映射 关系 ,构建 两 个 不 同 信任 域 之 间 的 信任 桥梁 。 


3. 联邦 PKI 体系 的 当前 状况 和 联邦 政府 计划 


从 2000 年 3 月 7 日 至 4 月 6 日 之 间 , 在 美国 部 分 联邦 机 构 的 CA 和 加 拿 大 政府 CA 
的 参与 下 ,在 有 限时 间 内 共同 完成 了 对 联邦 PKI 体系 中 的 安全 电子 邮件 数字 签名 的 测 
试 。 其 测试 结果 显示 除 GSA 信任 域外 的 其 他 信任 域 之 间 的 互 操作 性 是 可 以 实现 的 ,而 使 
用 GSA 信任 域 不 能 实现 与 其 他 信任 域 的 互 操作 性 ,报告 同时 强调 ,出 现 这 种 情况 并 不 是 
技术 问题 ,而 仅仅 是 因为 没有 足够 时 间 开 发 客户 端 验证 软件 。 其 进一步 测试 将 继续 进行 。 
其 测试 结构 图 如 图 6-7 所 示 ,参加 测试 的 联邦 机 构 CA 包括 : DoD 的 网 状 CA ,两 个 NIST 
的 CA, 美国 的 国家 航空 和 航天 局 (National Aeronautics and Space Administration, 
NASA) .乔治亚 州 技术 研究 所 的 CA 及 综合 服务 局 (General Services Administration, 
GSA) BY CA 等 。 
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图 6-7 FPKI 体 系 测试 结构 图 


图 6-7 中 : 

DISA: Defense Information Systems Agency, 美 国 国 防 部 国防 信息 系统 局 ; 

Treasury: 美国 国防 部 财政 局 ; 

PCA: 首 级 CA., 

目前 ,美国 政府 联邦 PKI 体系 还 处 于 研究 和 测试 阶段 ,正式 投入 使 用 还 需要 做 很 多 
工作 。 测 试 基 本 成 功 只 是 建立 联邦 PKI 体系 的 第 一 步 ,为 了 建立 健全 联邦 PKI 体系 ,从 
技术 角度 ,美国 联邦 政府 还 将 从 以 下 4 个 方面 作出 努力 : 

(1) 验证 密 钥 管理 证 书 的 信任 路 径 。 

(2) 测试 附加 功能 ,以 满足 联邦 PKI 体系 中 的 所 有 成 员 之 间 的 互 操 作 性 。 

G) 开发 FBCA 产品 ,FBCA 的 设计 依赖 X. 509 证 书 的 政策 和 转换 政策 信息 的 政策 
映射 扩展 项 ,这 些 特点 将 包含 在 FBCA 产品 中 ,同时 开发 的 FBCA 产品 能 够 处 理 证 书 中 
的 混合 签名 算法 。 

(4) 努力 加 强 在 现 有 商务 软件 (commercial off the shelf-software, COTS) 产品 中 
PKI 的 支持 。 


6.4.4.2 加 拿 大 政府 PKI 体系 结构 


1. 加 拿 大 政府 PKI 体系 结构 的 描述 


加 拿 大 对 于 政府 PKI 体 系 的 研究 要 比美 国 早 ,在 1993 年 加 拿 大 通信 安全 部 
(Communications Security Establishment,CSE) 就 已 经 开始 了 政府 PKI 体系 雏形 的 研究 
工作 ,当时 主要 是 开发 一 种 满足 政府 需求 的 PKI 产品 ,实现 无 货架 商业 贸易 。 随 后 ,陆续 
有 部 分 联邦 政府 机 构 参 与 了 GOCPKI 体系 的 开发 工作 ,他 们 是 : 加 拿 大 公民 移民 局 
(Citizenship and Immigration Canada). 加拿大 外 事 和 国际 贸易 部 (Department of 
Foreign Affairs and International Trade) ,国防 部 (Department of National Defence), 加 
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拿 大 电信 和 信息 服务 中 心 (Government Telecommunications and Informatics Services), 
加 拿 大 公共 建设 工程 和 政府 服务 中 心 (Public Works and Government Services Canada, 
PWGSC) 的 一 个 分 部 ,加 拿 大 卫生 局 (Health Canada) ,加 拿 大 皇家 骑 警 (Royal Canadian 
Mounted Police) 和 财政 部 秘书 处 (Treasury Board Secretariat) 等 。 经 过 若干 年 的 研究 ， 
2000 年 在 建立 开放 的 PKI 体系 方面 获得 重要 的 进展 ,政府 PKI 体系 为 联邦 政府 与 公众 
机 构 ,商业 机 构 等 进行 电子 数据 交换 时 提供 信息 安全 的 保障 ,从 而 推动 政府 内 部 管理 电子 
化 的 进程 (其 结构 如 图 6-8 所 示 )。 


政策 管理 机 构 
i 
中 央 认证 机 构 
{ 一 级 CA } { 一 级 CA } 4 一 级 CA } 
当地 注册 机 构 当地 注册 机 构 当地 注册 机 构 


图 6-8 ”加拿大 政府 PKI 体 系 结 


从 图 6-8 中 可 以 看 到 ,加拿大 政府 PKI 体系 结构 是 由 政策 管理 机 构 C(PMA) 、 中央 认 
证 机 构 (CCF) .一 级 CA 和 当地 注册 机 构 (LRA) 组 成 。 

其 中 ,PMA 是 一 个 若干 部 门 共同 组 建 的 机 构 , 由 加 拿 大 政府 财政 部 秘书 处 领导 ,为 
政府 PKI 体系 提供 全 面 的 政策 指导 ,负责 监督 和 管理 加 拿 大 政府 PKI 体系 的 政策 实施 
情况 。 

CCF 是 中 央 认 证 机 构 , 它 实施 政府 PKI 体系 中 的 所 有 策略 ,签署 和 管理 与 一 级 CA 
交叉 认证 的 证 书 。 

一 级 CA 是 由 政府 运营 ,制定 一 个 和 多 个 证 书 担保 的 等 级 ,分 发 和 管理 数字 证 书 , 定 
期 颁布 证 书 ,注销 黑 名 单 。 

当地 注册 机 构 (LRA) 是 一 级 CA 设置 的 登记 机 构 或 个 人 ,其 职责 是 认证 和 鉴别 申请 
者 的 身份 ; 为 密 钥 恢复 或 证 书 恢复 请 求 进行 审批 ; 接受 并 审批 证 书 的 注销 请 求 。 

加 拿 大 政府 PKI 体系 是 一 个 完全 政府 行为 的 公开 密 钥 体系 结构 , 它 充分 考虑 到 交易 
的 私有 性 和 安全 性 ,并 把 保护 交易 私有 性 和 安全 性 列 为 “信息 高 速 公 路 ”的 首要 问题 。 它 
提供 完全 一 致 的 密 钥 管理 办 法 ,并 为 加 密 和 数字 签名 提供 完全 相同 的 验证 过 程 , 它 是 多 项 
技术 一 一 电子 认证 、 鉴别 和 智能 卡 等 的 集成 。 


2. 加 拿 大 政府 PKI 体系 的 工作 原理 


加 拿 大 政府 PKI 体系 是 由 若干 CA 组 成 ,这 些 CA 形成 树 状 结构 ,每 个 用 户 的 公 钥 和 
身份 验证 的 信息 都 放 在 证 书 中 ,证 书签 发 CA 在 每 个 证 书 上 签名 ,并 使 其 包含 公 钥 的 证 书 
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对 外 公开 。 任何 用 户 都 能 方便 地 得 到 其 他 用 户 的 公 钥 ,通过 公 钥 验证 该 用 户 的 签名 ,辨别 
HH. 

加 拿 大 政府 PKI 体系 的 工作 原理 与 美国 联邦 PKI 体 系 的 工作 原理 比较 相似 ,需要 建 
立信 任 关 系 的 两 个 用 户 如 果 属 于 同一 个 树 状 结构 ,由 于 有 共同 的 信任 点 ,应 用 软件 很 容易 
验证 他 们 的 信任 关系 ; 如 果 两 个 用 户 不 属于 同一 个 树 状 结构 ,这 时 要 建立 信任 关系 必须 
借助 中 央 认 证 机 构 的 交叉 认证 机 制 。 通 过 中 央 认 证 机 构 与 一 级 CA 之 间 的 交叉 认证 证 
书 , 分 属 不 同 树 状 结构 的 一 级 CA 之 间 建 立 彼 此 的 信任 关系 。 同 样 , 中 央 认 证 机 构 也 不 是 
一 个 根 CA, 它 只 是 不 同 树 状 信任 域 的 汇 结 点 。 

然而 ,从 图 6-8 中 也 很 容易 发 现 ,加 拿 大 政府 PKI 体系 的 信任 域 都 是 树 状 结构 ,从 而 
信任 关系 的 查找 更 加 快捷 ,信任 关系 很 容易 建立 ,只 需要 和 相应 的 一 级 CA 进行 交叉 认证 
即 可 ,不 像 网 状 结构 ,需要 确定 哪个 CA 与 联邦 桥 CA 进行 交叉 认证 。 另 外 ,两 种 树 状 结 
构建 立信 任 关系 必须 通过 中 央 认 证 机 构 ,不 允许 一 个 树 状 结构 与 另 一 个 树 状 结构 直接 发 
生 信 任 关 系 , 中 央 认 证 机 构 是 与 外 界 建立 信任 关系 的 唯一 接口 ,因此 结构 简单 ,易于 操作 ， 
是 一 个 值得 借鉴 的 PKI 体系 。 


6.4.4.3 两 种 体系 的 比较 


美国 联邦 PKI 体 系 和 加 拿 大 政府 PKI 体系 都 是 政府 行为 的 PKI 体 系 , 是 在 政府 的 
倡导 和 主持 下 研究 开发 的 ,其 目的 都 是 为 了 本 国 的 各 级 政府 部 门 和 政府 机 构 高 效 、 低 成 
本 、 安 全 地 从 事 电子 政务 .电子 采购 活动 ,其 成 员 主 要 是 各 级 政府 ,不 同 的 政府 机 构 ,在 两 
种 体系 中 均 有 一 个 交叉 认证 中 心 (FPKI 体系 中 是 联邦 桥 CA, 加 拿 大 政府 PKI 体系 中 的 
中 央 认 证 机 构 ), 由 它 来 沟通 不 同 信任 域 之 间 的 信任 关系 ,同时 也 是 与 其 他 政府 PKI/CA 
建立 信任 关系 的 接口 ,是 该 体系 与 外 界 建立 信任 关系 的 唯一 通道 ,当然 它 必 须 接受 政府 在 
政策 上 的 支持 和 监督 ,在 技术 上 都 集成 了 如 智能 卡 技 术 等 其 他 技术 。 美 国 在 开发 联邦 
PKI 体系 时 充分 考虑 了 与 加 拿 大 政府 PKI 体系 的 兼容 性 。 然 而 美国 联邦 PKI 体系 和 加 
拿 大 政府 PKI 体系 并 不 完全 一 致 :他 们 都 有 各 自 的 特点 ,其 表现 如 下 : 

(1) 体系 结构 上 ,美国 联邦 PKI 体系 结构 比较 复杂 , 它 包 含 各 种 信任 域 结构 : 树 状 结 
构 、 网 状 结构 和 信任 列表 等 。 因 此 ,联邦 桥 CA 仅 是 一 个 桥梁 ; 而 加 拿 大 政府 PKI 体系 结 
构 比 较 简单 , 它 是 一 个 树 状 结构 。 从 结构 上 看 ,中 央 认 证 机 构 仿佛 是 一 个 根 CA。 

(2) 在 信任 关系 的 建立 上 美国 联邦 PKI 体系 结构 中 的 联邦 桥 CA 是 各 信任 域 建立 信 
任 关 系 的 桥梁 ,然而 他 并 不 强调 在 建立 信任 关系 时 必须 遵循 交叉 认证 证 书 中 所 确定 的 担 
保 等 级 之 间 的 一 一 映射 关系 ; 在 加 拿 大 政府 PKI 体系 中 ,各 信任 域 之 间 建 立信 任 关 系 必 
须 经 过 中 央 认 证 机 构 。 

(3) 采用 技术 上 ,美国 联邦 PKI 体系 中 的 成 员 采 用 多 种 不 同 PKI 产品 和 技术 ,如 
VeriSign、Baltimore 和 Entrust 等 公司 的 技术 ; 而 加 拿 大 政府 PKI 体系 中 强调 使 用 
Entrust 公司 的 技术 。 

(4) 在 组 成 成 员 上 ,美国 联邦 PKI 体系 中 除了 各 级 政府 和 不 同 政府 机 构 外 ,还 包括 与 
政府 或 政府 机 构 有 商业 往来 的 合作 伙伴 ; 而 加 拿 大 政府 PKI 体系 中 的 成 员 都 是 联邦 的 各 
级 政府 或 政府 机 构 。 
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6.4.5 国内 PKI 应 用 状况 


目前 ,上 海 ,北京 .深圳 、 重 庆 等 城市 已 经 建立 了 PKI. 以 便 为 本 地 化 通信 网 络 提供 安 
全 服务 。 

因为 CA 认证 中 心 是 PKI 的 重要 组 成 部 分 ,有 时 将 CA 认证 中 心 称 作 简 要 的 PKI. 
在 国家 直属 部 门 ,以 中 国人 民 银 行为 首 的 12 家 金融 机 构 推 出 了 “中 国 金 融 认 证 中 心 
(CFCA)”, 中 国电 信也 在 开展 CA 机 制 的 试验 工作 。 另 外 ,许多 网 络 通信 公司 正在 积极 
开发 自己 的 基于 PKI 的 安全 产品 。 

但 是 ,在 我 国 , 各 地 方 推 出 的 PKI 基本 上 是 为 了 满足 局 部 需要 ,全 国 还 没有 由 政府 或 
金融 机 构 推出 的 统一 信任 认证 机 制 。 


6.5 防火 墙 技术 中 安全 协议 的 应 用 


防火 墙 是 设置 在 被 保护 网 络 和 外 部 网 络 之 间 的 一 道 屏障 ,以 防止 发 生 不 可 预测 的 、 潜 
在 破坏 性 的 侵入 。 防 火 墙 是 指 设置 在 不 同 网 络 ( 如 可 信任 的 企业 内 部 网 和 不 可 信 的 公共 
网 ?或 网 络 安全 域 之 间 的 一 系列 部 件 的 组 合 。 它 是 不 同 网 络 或 网 络 安全 域 之 间 信 息 的 唯 
一 出 入 口 , 能 根据 企业 的 安全 政策 控制 (人 允许、 拒绝, 监测) 出 入 网 络 的 信息 流 , 且 本 身 具 有 
较 强 的 抗 攻击 能 力 。 它 是 提供 信息 安全 服务 ,实现 网 络 和 信息 安全 的 基础 设施 。 

防火 墙 可 通过 监测 .限制 .更 改 跨 越 防火 墙 的 数据 流 , 尽 可 能 对 外 部 屏蔽 网 络 内 部 的 
信息 、 结 构 和 运行 状况 ,以 此 来 实现 网 络 的 安全 保护 。 


6.5.1 防火 墙 的 实质 


防火 墙 包含 一 对 策略 (或 称 机 制 ): 一 方面 它 限 制 数 据 流通 , 另 一 方面 又 允许 数据 流 
通 。 由 于 网 络 的 管理 机 制 及 安全 策略 (security policy) 不 同 ,因此 这 对 矛盾 呈现 出 不 同 的 
表现 形式 。 

存在 两 种 极端 的 策略 : 第 一 种 是 除了 非 允许 不 可 的 都 被 禁止 ,第 二 种 是 除了 非 禁 止 
不 可 的 都 被 允许 。 第 一 种 的 特点 是 安全 但 不 好 用 ,第 二 种 是 好 用 但 不 安全 ,而 多 数 防火 墙 
都 在 两 者 之 间 采 取 折 中 。 

这 里 所 谓 的 好 用 或 不 好 用 主要 指 跨 越 防 火 墙 的 访问 效率 。 在 确保 防火 墙 安全 或 比较 
安全 前 提 下 提高 访问 效率 是 防火 墙 技术 研究 和 实现 的 热点 。 


6.5.2 防火 墙 的 技术 分 类 


防火 墙 技术 可 根据 防范 的 方式 和 侧重 点 的 不 同 而 分 为 很 多 种 类 型 ,但 总 体 来 讲 可 分 
为 包 过 滤 、 应 用 级 网 关 和 代理 服务 器 等 几 大 类 型 。 


1. 数据 包 过 滤 型 防火 墙 


数据 包 过 滤 (packet filtering) 技 术 是 在 网 络 层 对 数据 包 进 行 选择 ,选择 的 依据 是 系统 
内 设置 的 过 滤 逻 辑 ,被 称 为 访问 控制 表 (access control table) 。 通 过 检查 数据 流 中 每 个 数 
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据 包 的 源 地 址 .目的 地 址 .所 用 的 端口 号 .协议 状态 等 因素 或 它们 的 组 合 来 确定 是 否 人 允许 
该 数据 包 通 过 。 

数据 包 过 滤 防 火 墙 逻辑 简单 ,价格 便宜 ,易于 安装 和 使 用 ,网 络 性 能 和 透明 性 好 , 它 通 
常安 装 在 路 由 器 上 。 路 由 器 是 内 部 网 络 与 Internet 连接 必 不 可 少 的 设备 ,因此 在 原 有 网 
络 上 增加 这 样 的 防火 墙 几 乎 不 需要 任何 额外 的 费用 。 

数据 包 过 滤 防 火 墙 有 两 个 缺点 : 一 是 非法 访问 一 旦 突破 防火 墙 , 即 可 对 主机 上 的 软 
件 和 配置 漏洞 进行 攻击 ; 二 是 数据 包 的 源 地 址 .目的 地 址 以 及 IP 的 端口 号 都 在 数据 包 的 
头 部 ,很 有 可 能 被 窃听 或 假冒 。 

分 组 过 滤 或 包 过 滤 , 是 一 种 通用 、 廉 价 、 有 效 的 安全 手段 。 之 所 以 通用 ,是 因为 它 不 针 
对 各 个 具体 的 网 络 服务 采取 特殊 的 处 理 方式 ; 之 所 以 廉价 ,是 因为 大 多 数 路 由 器 都 提供 
分 组 过 滤 功能 ; 之 所 以 有 效 ,是 因为 它 能 在 很 大 程度 上 满足 企业 的 安全 要 求 。 所 根据 的 
信息 来 源 于 IP. TCP 或 UDP 包头 。 

包 过 滤 的 优点 是 不 用 改动 客户 机 和 主机 上 的 应 用 程序 ,因为 它 工作 在 网 络 层 和 传输 
JA ,与 应 用 层 无 关 。 但 其 弱点 也 是 明显 的 : 据 以 过 滤 判 别 的 只 有 网 络 层 和 传输 层 的 有 限 
信息 ,因而 各 种 安全 要 求 不 可 能 充分 满足 ; 在 许多 过 滤器 中 ,过 滤 规 则 的 数目 是 有 限制 
的 , 且 随 着 规则 数目 的 增加 ,性 能 会 受到 很 大 影响 ; 由 于 缺少 上 下 文 关联 信息 ,不 能 有 效 
地 过 滤 如 UDP、RPC 一 类 的 协议 。 另 外 ,大 多 数 过 滤器 中 缺少 审计 和 报警 机 制 , 且 管理 
方式 和 用 户 界 面 较 差 ; 对 安全 管理 人 员 素 质 要 求 高 ,建立 安全 规则 时 ,必须 对 协议 本 身 及 
其 在 不 同 应 用 程序 中 的 作用 有 较 深 入 的 理解 。 因 此 .过 滤器 通常 是 和 应 用 网 关 配 合 使 用 ， 
共同 组 成 防火 墙 系统 。 


2. 应 用 级 网 关 型 防火 墙 


应 用 级 网 关 (application level gateways) 是 在 网 络 应 用 层 上 建立 协议 过 滤 和 转发 功 
能 。 它 针对 特定 的 网 络 应 用 服务 协议 使 用 指定 的 数据 过 滤 逻 辑 , 并 在 过 滤 的 同时 ,对 数据 
包 进 行 必要 的 分 析 、 登 记 和 统计 ,形成 报告 。 实 际 中 的 应 用 网 关 通 常安 装 在 专用 工作 站 系 
RE: 

数据 包 过 滤 和 应 用 网 关 防 火 墙 有 一 个 共同 的 特点 ,就 是 它们 仅仅 依靠 特定 的 逻辑 判 
定 是 否 人 允许 数据 包 通 过 。 一 旦 满足 逻辑 , 则 防火 墙 内 外 的 计算 机 系统 建立 直接 联系 ,防火 
墙 外 部 的 用 户 便 有 可 能 直接 了 解 防火 墙 内 部 的 网 络 结 构 和 运行 状态 ,这 有 利于 实施 非法 
访问 和 攻击 。 


3. 代理 服务 型 防火 墙 


代理 服务 (proxy service) 也 称 链 路 级 网 关 (circuit level gateways) 或 TCP 通道 (TCP 
tunnels) ,也 有 人 将 它 归 于 应 用 级 网 关 一 类 。 它 是 针对 数据 包 过 滤 和 应 用 网 关 技 术 存 在 
的 缺点 而 引入 的 防火 墙 技术 ,其 特点 是 将 所 有 跨越 防火 墙 的 网 络 通信 和 链 路 分 为 两 段 。 防 
火 墙 内 外 计算 机 系统 间 应 用 层 的 “链接 ”, 由 两 个 终止 代理 服务 器 上 的 “链接 ”来 实现 ,外 部 
计算 机 的 网 络 链 路 只 能 到 达 代 理 服务 器 .从 而 起 到 了 隔离 防火 墙 内 外 计算 机 系统 的 作用 。 
此 外 ,代理 服务 也 对 过 往 的 数据 包 进 行 分 析 、 注 册 登 记 , 形 成 报告 ,同时 , 当 发 现 被 攻 
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击 迹象 时 会 向 网 络 管理 员 发 出 警报 ,并 保留 攻击 痕迹 。 

应 用 代理 型 防火 墙 是 内 部 网 与 外 部 网 的 隔离 点 ,起 着 监视 和 隔绝 应 用 层 通信 流 的 作 
用 。 同 时 ,也 常 结 合 过 滤器 的 功能 。 它 工作 在 OSI 模型 的 最 高 层 , 掌 握 着 应 用 系统 中 可 
用 作 安 全 决策 的 全 部 信息 。 


4. 复合 型 防火 墙 


由 于 对 更 高 安全 性 的 要 求 , 常 把 基于 包 过 滤 的 方法 与 基于 应 用 代理 的 方法 结合 起 来 ， 
形成 复合 型 防火 墙 产品 。 这 种 结合 通常 有 以 下 两 种 方案 。 屏 项 主机 防火 墙 体 系 结构 : 在 
该 结构 中 ,分 组 过 滤 路 由 器 或 防火 墙 与 Internet 相连 ,同时 一 个 堡 公 机 安装 在 内 部 网 络 ， 
通过 在 分 组 过 滤 路 由 器 或 防火 墙 上 过 滤 规 则 的 设置 ,使 堡垒 机 成 为 Internet 上 其 他 节点 
所 能 到 达 的 唯一 节点 ,这 确保 了 内 部 网 络 不 受 未 授权 外 部 用 户 的 攻击 。 

屏蔽 子 网 防火 墙 体 系 结构 : 堡垒 机 放 在 一 个 子 网 内 ,形成 非 军 事 化 区 ,两 个 分 组 过 滤 
路 由 器 放 在 这 一 子 网 的 两 端 ,使 这 一 子 网 与 Internet 及 内 部 网 络 分 离 。 在 屏蔽 子 网 防火 
墙 体系 结构 中 ,堡垒 主机 和 分 组 过 滤 路 由 器 共同 构成 了 整个 防火 墙 的 安全 基础 。 


6.5.3 防火 墙 主 要 技术 
先进 的 防火 墙 产品 将 网 关 与 安全 系统 合 二 为 一 ,具有 以 下 技术 与 功能 。 
1. 双 端 口 或 三 端口 的 结构 


防火 墙 产 品 具 有 两 个 或 三 个 独立 的 网 卡 , 内 外 两 个 网 卡 可 不 作 IP 转化 而 串 接 于 内 部 
网 与 外 部 网 之 间 , 另 一 个 网 卡 可 专用 于 对 服务 器 的 安全 保护 。 


2. 透明 的 访问 方式 


以 前 的 防火 墙 在 访问 方式 上 要 么 要 求 用 户 作 系统 登录 ,要 么 需要 通过 SOCKS 等 库 
路 径 修改 客户 机 的 应 用 。 新 一 代 防 火 墙 利用 透明 的 代理 系统 技术 ,从 而 降低 系统 登录 固 
有 的 安全 风险 和 出 错 概率 。 


3. 灵活 的 代理 系统 


代理 系统 是 一 种 将 信息 从 防火 墙 的 一 侧 传送 到 另 一 侧 的 软件 模块 。 新 一 代 防 火 墙 采 
用 两 种 代理 机 制 ,一 种 用 于 代理 从 内 部 网 络 到 外 部 网 络 的 连接 , 另 一 种 用 于 代理 从 外 部 网 
络 到 内 部 网 络 的 连接 。 前 者 采用 网 络 地址 转换 CNAT) 技 术 来 解决 ,后 者 采用 非 保 密 的 用 
户 定制 代理 或 保密 的 代理 系统 技术 来 解决 。 


4. 多 级 的 过 滤 技 术 

为 保证 系统 的 安全 性 和 防护 水 平 ,新 型 防火 墙 采用 3 级 过 滤 措 施 , 并 辅 以 鉴别 手段 。 
在 分 组 过 滤 一 级 ,能 过 滤 掉 所 有 源 路 由 分 组 和 假冒 IP 源 地 址 ; 在 应 用 级 网 关 一 级 ,能 利 
用 FTP、SMTP 等 各 种 网 关 , 控 制 和 监测 Internet 提供 的 所 用 通用 服务 ; 在 键 路 网 关 一 
级 ,实现 内 部 主机 与 外 部 站 点 的 透明 连接 ,并 对 服务 的 通行 实行 严格 控制 。 
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5. 网 络 地 址 转换 技术 (NAT) 


防火 墙 利用 NAT 技术 能 透明 地 对 所 有 内 部 地 址 作 转 换 , 使 外 部 网 络 无 法 了 解 内 部 
网 络 的 内 部 结构 ,同时 允许 内 部 网 络 使 用 自己 定制 的 IP 地 址 和 专用 网 络 , 防 火 墙 能 详尽 
记录 每 一 个 主机 的 通信 ,确保 每 个 分 组 送 往 正确 的 地 址 。 同 时 使 用 NAT 的 网 络 , 与 外 部 
网 络 的 连接 只 能 由 内 部 网 络 发 起 , 极 大 地 提高 了 内 部 网 络 的 安全 性 。NAT 的 另 一 个 显 
而 易 见 的 用 途 是 解决 IP 地 址 匮乏 问题 。 


6. Internet 网 关 技 术 


由 于 是 直接 串联 在 网 络 中 ,新 一 代 防 火 墙 必须 支持 用 户 在 Internet 互联 的 所 有 服务 ， 
同时 还 要 防止 与 Internet 服务 有 关 的 安全 漏洞 。 所 以 它 能 以 多 种 安全 的 应 用 服务 器 ( 包 
括 FTP,Finger, E-mail, Ident, News, WWW 等 ) 来 实现 网 关 功 能 。 为 确保 服务 器 的 安全 
性 ,对 所 有 文件 和 命令 均 要 利用 “改变 根系 统 调用 (ch root) ”作物 理 上 的 隔离 。 

在 域名 服务 方面 ,新 一 代 防 火 墙 采用 两 种 独立 的 域名 服务 器 ,一 种 是 内 部 DNS 服务 
器 ,主要 处 理 内 部 网 络 的 DNS 信息 ; 另 一 种 是 外 部 DNS 服务 器 ,专门 用 于 处 理 机 构 内 部 
向 Internet 提供 的 部 分 DNS 信息 。 

在 匿名 FTP 方面 ,服务 器 只 提供 对 有 限 受 保护 的 部 分 目录 的 只 读 访 问 。 在 WWW 
服务 器 中 ,只 支持 静态 网 页 ,而 不 允许 图 形 或 CGI 代码 等 在 防火 墙 内 运行 ; 在 Finger 服 
务 器 中 ,对 外 部 访问 ,防火墙 只 提供 可 由 内 部 用 户 配置 的 基本 文本 信息 ,而 不 提供 任何 与 
攻击 有 关 的 系统 信息 ; SMTP 与 POP 邮件 服务 器 要 对 所 有 进 、 出 防火 墙 的 邮件 做 处 理 ， 
并 利用 邮件 映射 与 标 头 剥 除 的 方法 隐 除 内 部 的 邮件 环境 ; Ident 服务 器 对 用 户 连 接 的 识 
别 作 专 门 处 理 ; 网 络 新 闻 服 务 则 为 接收 来 自 ISP 的 新 闻 开 设 专门 磁盘 空间 。 


7. 安全 服务 器 网 络 (SSN) 


为 适应 越 来 越 多 的 用 户 向 Internet 上 提供 服务 时 对 服务 器 保护 的 需要 ,新 一 代 防 火 
墙 采用 分 别 保护 的 策略 ,对 用 户 上 网 的 对 外 服务 器 实施 保护 , 它 利用 一 张 网 卡 将 对 外 服务 
器 作为 一 个 独立 网 络 处 理 , 对 外 服务 器 既是 内 部 网 的 一 部 分 .又 与 内 部 网 关 完 全 隔离 。 这 
就 是 安全 服务 器 网 络 (SSN) 技 术 , 对 SSN 上 的 主机 既 可 单独 管理 ,也 可 设置 成 通过 FTP, 
Telnet 等 方式 从 内 部 网 上 管理 。 

SSN 方法 提供 的 安全 性 要 比 传统 的 “隔离 区 (DMZ)” 方 法 好 得 多 ,因为 SSN 与 外 部 
网 之 间 有 防火 墙 保护 ,SSN 与 内 部 网 之 间 也 有 防火 墙 保护 ,而 DMZ 只 是 一 种 在 内 、 外 部 
网 络 网 关 之 间 存在 的 一 种 防火 墙 方 式 。 换 而 言 之 ,一 旦 SSN 受 破坏 ,内 部 网 络 仍 会 处 于 
防火 墙 的 保护 之 下 ; 而 一 旦 DMZ 受到 破坏 ,内 部 网 络 便 暴露 于 攻击 之 下 。 


8. 用 户 鉴 别 与 加 密 


为 了 降低 防火 墙 产品 在 Telnet, FTP 等 服务 和 远程 管理 上 的 安全 风险 ,鉴别 功能 必 
不 可 少 。 新 一 代 防 火 墙 采用 一 次 性 使 用 的 口令 字 系 统 来 作为 用 户 的 鉴别 手段 ,并 实现 对 
邮件 的 加 密 。 
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9. 用 户 定制 服务 


为 满足 特定 用 户 的 特定 需求 ,新 一 代 防 火 墙 在 提供 众多 服务 的 同时 ,还 为 用 户 定制 提 
供 支 持 。 这 类 选项 有 : 通用 TCP ,出 站 UDP、FTP、SMTP 等 。 如 果 某 一 用 户 需要 建立 一 
个 数据 库 的 代理 , 便 可 利用 这 些 支持 ,方便 设置 。 


10. 审计 和 告警 


新 一 代 防 火 墙 产品 的 审计 和 告警 功能 十 分 健全 。 日 志文 件 包 括 : 一 般 信息 、 内 核 信 
息 、 核 心 信息 、 接 收 邮 件 、 邮 件 路 径 、 发 送 邮 件 、 已 收 消息 、 已 发 消息 、 连 接 需 求 . 已 鉴别 的 访 
问 .告警 条 件 ,管理 日 志 、 进 站 代理 .FTP 代理 、 出 站 代理 、 邮 件 服务 器 、 名 服务 器 等 。 告 警 
功能 会 守住 每 一 个 TCP 或 UDP 探寻 ,并 能 以 发 出 邮件 、 声 响 等 多 种 方式 报警 。 此 外 ,新 
一 代 防 火 墙 还 在 网 络 诊 断 、 数 据 备份 与 保全 等 方面 具有 特色 。 


6.5.4 设置 防火 墙 的 要 素 
1. 网 络 策略 


影响 Firewall 系统 设计 安装 和 使 用 的 网 络 策略 可 分 为 两 级 ,高 级 的 网 络 策略 定义 允 
许 和 禁止 的 服务 以 及 如 何 使 用 服务 ; 低级 的 网 络 策略 描述 Firewall 如 何 限制 和 过 滤 在 高 
级 策略 中 定义 的 服务 。 


2. 服务 访问 策略 


服务 访问 策略 集中 在 Internet 访问 服务 以 及 外 部 网 络 访问 (如 拨 入 策略 、SLIP/PPP 
连接 等 )。 服 务 访 问 策略 必须 是 可 行 的 和 合理 的 。 可 行 的 策略 必须 在 阻止 已 知 的 网 络 风 
险 和 提供 用 户 服务 之 间 获 得 平衡 。 典 型 的 服务 访问 策略 是 : 允许 通过 增强 认证 的 用 户 在 
必要 的 情况 下 从 Internet 访问 某 些 内 部 主机 和 服务 ; 允许 内 部 用 户 访问 指定 的 Internet 
主机 和 服务 。 


3. 防火 墙 设计 策略 


防火 墙 设计 策略 基于 特定 的 Firewall, 定 义 完 成 服务 访问 策略 的 规则 。 通 常 有 两 种 
基本 设计 策略 : 允许 任何 服务 ,除非 被 明确 禁止 ; 禁止 任何 服务 ,除非 被 明确 允许 。 第 一 
种 特点 是 安全 但 不 好 用 ,第 二 种 是 好 用 但 不 安全 。 通 常 采用 第 二 种 类 型 的 设计 策略 ,而 多 
数 防 火 墙 都 在 两 种 之 间 采 取 折 中 。 


4. 增强 的 认证 


许多 在 Internet 上 发 生 的 入 侵 事 件 源 于 脆弱 的 传统 用 户 / 口 令 机 制 。 多 年 来 ,用 户 被 
告知 使 用 难于 猜测 和 破译 的 口令 ,虽然 如 此 ,攻击 者 仍然 在 Internet 上 监视 传输 的 口令 明 
文 , 使 传统 的 口令 机 制 形同虚设 。 增强 的 认证 机 制 包 含 智 能 卡 、 认 证 令 牌 .生理 特征 ( 指 
纹 ) 以 及 基于 软件 (RSA) 等 技术 ,来 克服 传统 口令 的 弱点 。 虽 然 存 在 多 种 认证 技术 ,它们 
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均 使 用 增强 的 认证 机 制 , 产 生 难 被 攻击 者 重用 的 口令 和 密 钥 。 目 前 许多 流行 的 增强 机 制 
使 用 一 次 有 效 的 口令 和 密 钥 (如 SmartCard 和 认证 令 牌 ) 。 


6.5.5 防火 墙 的 抗 攻 击 能 力 和 局 限 性 


作为 一 种 安全 防护 设备 .防火 墙 在 网 络 中 自然 是 众多 攻击 者 的 目标 , 故 抗 攻击 能 力也 
是 防火 墙 的 必 备 功能 。 

对 防火 墙 的 网 络 攻击 手段 一 般 包 括 IP 地 址 假冒 攻击 .病毒 攻击 .口令 字 探 询 攻击 、 网 
络 安全 性 分 析 攻 击 .邮件 诈骗 攻击 等 。 

防火 墙 的 局 限 性 是 : 尽管 利用 防火 墙 可 以 保护 安全 网 免 受 外 部 黑客 的 攻击 ,但 其 目 
的 只 是 能 够 提高 网 络 的 安全 性 ,不 可 能 保证 网 络 绝对 安全 。 事 实 上 仍然 存在 着 一 些 防火 
墙 不 能 防范 的 安全 威胁 ,如 防火 墙 不 能 防范 绕 过 防火 墙 的 攻击 。 例 如 ,如 果 人 允许 从 受 保护 
的 网 络 内 部 向 外 拨号 ,一 些 用户 就 可 能 形成 与 Internet 的 直接 连接 。 另 外 ,防火 墙 很 难 防 
范 来 自 于 网 络 内 部 的 攻击 以 及 病毒 的 威胁 。 


6.6 VPN 技术 中 安全 协议 的 应 用 


VPN(vitual private network) 即 虚拟 专用 网 ,是 利用 开放 的 公众 网 络 资源 建立 私有 
数据 传输 通道 ,将 远程 的 分 支 机构 .商业 伙伴 、 移 动 办 公 人 员 等 连接 起 来 ,并 且 提 供 安 全 的 
端 到 端的 数据 通信 的 一 种 网 络 技术 。VPN 有 两 层 含义 : 它 是 “虚拟 的 ”, 即 建立 隧道 或 虚 
电路 把 不 同 的 物理 网 络 或 设备 连接 起 来 ,不 再 使 用 物理 的 专线 建立 专用 网 ,而 是 将 其 建立 
在 分 布 广泛 的 公共 网 络 上 ,如 Internets; 它 是 “专用 的 ”, 对 基于 IPSec 的 VPN 而 言 ,是 一 
组 连接 的 闭合 用 户 群 (CUG), 它 不 仅 具 有 服务 质量 (QoS) 的 保证 ,而 且 更 多 地 强调 安全 
服务 。VPN 所 实现 的 用 户 之 间 的 “ 端 到 端 " 的 连接 ,实际 上 是 ISP(Internet 服务 提供 商 ) 
和 其 他 NSP( 网 络 服务 提供 商 ) 所 提供 的 一 种 面向 企业 服务 的 增值 业务 。VPN 是 企业 网 
在 公共 网 络 上 的 无 颖 延伸 ,VPN 可 将 位 于 不 同 地 点 的 远程 用 户 、 分 支 机 构 和 合作 伙伴 等 
连接 起 来 。VPN 拥有 成 本 低 、 开 销 少 、 灵 活 度 高 等 优点 。 

VPN 的 主要 功能 是 

(1) 可 以 替换 现 有 的 专用 网 网 段 或 子 网 。 

(2) 通过 把 特定 应 用 分 离 出 来 满足 相应 需求 ,为 专用 网 络 提 供 有 益 的 补充 。 

(3) 在 不 影响 现 有 专用 网 的 情况 下 ,处 理 新 应 用 。 

(4) 增加 新 位 置 ,特别 是 国际 性 网 站 。 


6.6.1 VPN 的 基本 原理 


虚拟 专用 网 系统 使 分 布 在 不 同 地 方 的 专用 网 络 在 不 可 信任 的 公共 网 络 ( 如 因特网 ) 上 
安全 地 通信 。 它 采用 复杂 的 算法 来 加 密 传输 的 信息 ,使 得 需要 受 保护 的 数据 不 会 被 窃取 。 
一 般 来 说 ,其 工作 流程 大 致 如 下 : 

(1) 要 保护 的 主机 发 送 不 加 密 信息 到 连接 公共 网 络 的 虚拟 专 网 设备 。 

(2) 后 者 根据 网 络 管理 员 设 置 的 规则 ,确认 是 否 需 要 对 数据 进行 加 密 或 让 数据 直接 
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(3) 对 需要 加 密 的 数据 ,虚拟 专 网 设备 对 整个 数据 包 ( 包 括 要 传送 的 数据 、 发 送 端 和 
接收 端的 IP 地址) 进行 加 密 和 附 上 数字 签名 。 
(4) 虚拟 专 网 设备 加 上 新 的 数据 包头 ,其 中 包括 目的 地 虚拟 专 网 设备 需要 的 安全 信 


息 和 一 些 初始 化 参数 。 
(5) 虚拟 专 网 设备 对 加 密 后 数据 、 鉴 别 包 以 及 源 IP 地 址 、 目 标 虚拟 专 网 设备 IP 地 址 


进行 重新 封装 ,重新 封装 后 数据 包 通 过 虚拟 通道 在 公 网 上 传输 。 
(6) 当 数 据 包 到 达 目 标 虚 拟 专 网 设备 时 ,数字 签名 被 核对 无 误 后 数据 包 被 解密 。 


VPN 的 互联 模型 有 两 种 ,如 图 6-9 和 图 6-10 所 示 。 


VPN 设 备 K i VPN 设 备 
= 器 器 
接 入 链 路 all. IP 隧 道 L 接 入 链 路 


图 6-9 VPN 互联 模型 1 一 一 用 户 网 络 与 用 户 网 络 之 间 通 过 VPN 的 互联 


接 入 re" 网 人 
主机 上 | 服务 名 ISP 网 关 用 户 网 
- 呼叫 连接 IP 隧 首 


图 6-10 VPN 互联 模型 2 一 一 主机 与 用 户 网 络 之 间 通 过 VPN 的 互联 


6.6.2 VPN 采 用 的 主要 技术 


虚拟 专用 网 的 具体 实现 是 采用 隧道 技术 ,VPN 用 户 的 数据 封装 在 隧道 中 ,在 互联 网 
中 进行 传输 。 隧 道 技术 与 客户 接 人 方式 无 关 , 它 可 支持 各 种 形式 的 接 人 ,如 拨号 方式 接 
A „Cable Modem, XDSL, 综合 业务 数字 网 CISDN) 、El 专线 、 无 线 接 人 、 以 太 网 接 人 等 。 
一 个 隧道 协议 通常 包括 以 下 几 个 方面 : 

(1) 乘客 协议 : 被 封装 的 协议 ,如 PPP、SLIP。 

(2) 封装 协议 : 隧道 的 建立 .维持 和 断 开 ,如 L2TP IPSec 等 。 

(3) 承载 协议 : 承载 经 过 封装 后 的 数据 包 的 协议 ,如 IP 和 ATM 等 。 

VPN 的 总 体 要 求 是 : VPN 技术 应 当 能 够 支持 全 网 唯一 的 ,能 够 辨别 VPN 的 标识 符 
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(VPN-ID) 确 定 VPN 的 成 员 (VPN 边缘 路 由 器 需要 从 本 地 Stub 链 路 来 获取 VPN 成 员 
信息 ) ,同时 也 要 从 属于 同一 VPN 的 其 他 路 由 器 上 获取 VPN 成 员 信息 ,这 一 过 程 实际 是 
由 以 下 两 部 分 构成 。 

(1) Stub 链 路 连接 信息 的 获得 。 边 缘 路 由 器 必须 通过 每 个 Stub 链 路 来 获取 与 之 相 
连 的 CPE 的 地 址 和 地 址 前 绥 。 

(2) VPN 内 可 到 达 信 息 的 获取 。 边 缘 路 由 器 得 到 了 Stub 链 路 连接 信息 (以 及 相连 
的 CPE 设备 的 地 址 前 缀 ) 之 后 ,还 必须 将 这 些 信息 转发 给 同一 VPN 内 的 其 他 VPN 边缘 
路 由 器 。 

隧道 机 制 是 边缘 路 由 器 必须 要 同 VPN 域内 的 其 他 路 由 器 建立 起 必要 的 隧道 以 及 隧 
道 网 络 ,在 隧道 内 通过 封装 和 解 封 操作 对 数据 包 进 行 发 送 和 接收 。 

实际 网 络 环境 中 ,经 常 存在 在 一 个 用 户 端点 通过 多 条 Stub 链 路 连接 多 台 VPN 边缘 
路 由 器 的 现象 。 这 种 现象 主要 分 为 两 类 : 宛 余 链 路 和 负载 分 担 。 

(1) SUAS BER : 用 户 端 路 由 器 在 同一 时 刻 只 支持 一 条 链 路 实际 工作 ,而 其 他 链 路 则 
处 于 备份 状态 。 

(2) 负载 分 担 : 用 户 端的 一 台 路 由 器 可 以 同时 连接 多 台 VPN 边缘 路 由 器 ,此 时 需要 
使 用 某 种 负载 分 担 算法 来 防止 循环 的 产生 。 

从 总 体 来 说 ,VPN 技术 非常 复杂 , 它 涉及 到 通信 技术 、 密 码 技术 和 现代 认证 技术 ,是 
一 项 交叉 科学 。 目 前 ,VPN 主要 包含 隧道 技术 .MPLS 技术 与 安全 技术 。 


6.7 ”本章 重点 和 难点 


本 章 的 重点 是 现实 中 使 用 的 部 分 安全 协议 ,由 于 这 些 协 议 与 具体 应 用 环境 相关 ,所 以 
在 讲授 时 需要 注意 应 用 环境 。 

本 科教 学 建议 讲授 6. 1 节 、6.4.1 节 .6.4.2 节 .6.5 节 ,6.6 节 , 研 究 生 教 学 适当 增加 
6.3.1 %6,3. 2 56; 4.3 Ti. 

本 章 难点 在 实际 应 用 会 涉及 较 多 的 综合 知识 .安全 协议 在 这 里 已 经 不 是 一 种 单纯 的 
研究 内 容 , 而 是 要 将 其 实现 。 建 议 采用 课程 项 目的 方式 讲授 。 


习题 与 思考 题 


. 实际 应 用 中 的 安全 协议 选择 主要 由 什么 因素 决定 ? 

. 试 述 理论 上 安全 的 安全 协议 在 实际 应 用 中 的 安全 性 。 

. 举例 说 明 一 次 性 登录 技术 在 安全 协议 方面 的 作用 。 

试 比 较 SSL 与 SET 协议 。 

. 试 对 IKP 协议 体系 的 安全 性 进行 分 析 。 

. 通过 对 认证 协议 的 理解 , 试 说 明 非 否认 协议 与 认证 协议 的 主要 区 别 表现 在 哪些 


O n e UU Nae 


方面 ? 
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7. PKI 包含 的 基本 内 容 有 哪些 ? 试 述 其 作用 。 

8. 根据 对 数字 现金 安全 需求 的 分 析 , 试 对 本 章 所 讲 的 相关 协议 之 一 设计 一 个 例子 并 
进行 说 明 。 

9. 试 述 PKI 在 安全 电子 支付 协议 中 的 作用 。 

10. 请 列举 VPN 应 用 中 应 用 的 安全 协议 例子 。 

11. 试 举 例 说 明 防 火 墙 中 所 使 用 的 安全 协议 。 
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A AES 分 组 密码 算法 


分 组 密码 ,习惯 上 也 称 块 密码 ,从 20 世纪 70 年 代 中 期 开始 至 今 已 有 30 余年 的 研究 
历史 ,其 基本 原理 是 将 明文 消息 经 编码 表示 后 的 二 进 制 序列 mo sm ,… ,12;，… 划 分 成 若 
FEE KJE HHRH m= Cn sm ,… ,m1_1), 各 组 分 别 在 密 钥 上 二 (ko shi stesk, 1) A FE 
制 下 转换 成 长 度 为 n 的 密 文 分 组 c 二 (cos,cl，…,cs-1)。 其 本 质 是 一 个 从 明文 空间 (长 的 
比特 串 的 集合 )M 到 密 文 空间 (长 的 比特 串 的 集合 )C 的 映射 ,该 映射 由 密 钥 确定 。 分 组 
密码 简化 框图 如 图 A-1 所 示 。 

k=(ko,kis +++ pt) 有 (ko +++ pa) 


m=(Mo,M), +++ 5 M1) 


(明文 ) 


m=(mosm1, +++ s Mi) 


(明文 ) 


加 密 算法 加 密 算法 


图 A-1 分 组 加 密 简 化 框图 


目前 ,常用 的 分 组 密码 有 DESCRFC 1829, RFC 1969, RFC 2419、RFC 3217], AES 
[FIPS-197、RFC 3268,RFC 3602,RFC 3394] IDEALRFC 3058] 等 。 

下 面 就 具体 介绍 一 下 高 级 加 密 标 准 AES(advanced encryption standard) 。 

1997 年 4 月 ,美国 国家 标准 和 技术 研究 所 (NIST) 开 始 征 集 先进 加 密 标 准 (AES) 算 
法 来 替代 已 不 安全 的 DES 算法 。1998 年 5 月 ,NIST 宣布 接收 15 个 新 的 候选 算法 并 提 
请 全 世界 密码 研究 界 协助 分 析 这 些 候 选 算法 .包括 对 算法 的 安全 性 和 效率 特性 进行 初步 
检验 。 之 后 ,NIST 考察 了 这 些 初步 的 研究 成 果 , 并 选 定 MARS,RC6, Rijndael, Serpent 
和 Twofish 这 5 个 算法 作为 参加 决赛 的 算法 。 经 公众 对 决赛 算法 进行 更 进一步 的 分 析 评 
论 后 ,NIST 于 2000 年 10 月 宣布 Rijndael 作为 高 级 加 密 标 准 (AES) 。 

Rijndael 算法 是 一 个 数据 块 长 度 和 密 钥 长 度 可 变 的 分 组 迭代 加 密 算法 。 数 据 块 的 长 
度 和 密 钥 的 长 度 可 分 别 设 定 为 128 位 、192 位 和 256 位 。 

Rijndael 算法 在 整体 结构 上 采用 的 是 代替 置换 网 络 构 成 圈 函 数 , 多 图 迭代 ,如 图 A-2 
所 示 。 每 一 圈 由 以 下 3 层 组 成 。 

O JEREZ: 进行 S 盒 变换 ByteSub, 由 16 个 S 盒 并 置 而 成 ,起 到 混淆 的 作用 。 

© 线性 混合 层 : 进行 行 移 位 变换 (shift row) 和 列 混合 变换 (mix column) ,以 确保 多 
圈 之 上 的 高 度 扩散 。 

© 密 钥 加 层 : 进行 圈 密 钥 加 变换 (add round key) ,将 圈 密 钥 简 单 地 异 或 到 中 间 状 
BE.: 
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明 文 
i 
一 -一 | ”初始 圈 密 钥 加 轮 函 数 
Sates FF 一- 一 一 一 
用 户 密 钥 ! S 盒 变换 | 
i i | 
密 钥 扩展 1 | _ 行 移 位 和 列 混淆 “+ 和 迭代 控制 
| i 
| 圈 密 钥 加 i 


图 A-2 Rijndael 算法 结构 


A.1 状态 、 密 钥 和 轮 数 


Rijndael 的 加 密 解密 要 经 过 多 次 数据 变换 操作 ,每 一 次 变换 操作 都 会 产生 一 个 中 间 
结果 , 称 这 个 中 间 结 果 为 状态 。 算 法 的 所 有 操作 都 以 状态 为 对 象 进行 。 以 8 位 二 进 制 数 
为 一 个 字 节 ,4 个 字 节 称 为 一 个 字 , 可 以 把 一 个 状态 表示 为 一 个 二 维 字 节 数组 。 该 数组 有 
4 4F Ny 列 , 每 一 列 为 一 个 字 , 列 数 由 数据 块 长 度 除 以 32 来 决定 。 数 据 块 长 度 分 别 为 
128,192,256 位 时 的 状态 如 表 A-1、 表 A-2 和 表 A-3 所 示 , Ns 分 别 为 4.6 和 8。 可 以 看 
出 ,不同 情况 下 数组 都 是 4 行 。 


表 A-1 数据 块 长 度 为 128 时 的 状态 
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数据 块 按 顺 序 aoo，alo，a20，3a30，3aol，3a11，321，331，302 ,… 的 顺序 映射 为 状态 中 的 字 节 。 在 
加 密 结 束 时 , 密 文 也 按照 同样 的 顺序 从 状态 中 取出 。 

类 似 地 , 密 钥 也 可 以 表示 为 4 行 ,Nx 列 的 二 维 字 节 数 组 ,其 中 ,Nx 等 于 密 钥 块 长 度 除 
以 32。 密 钥 块 长 度 分 别 为 128,192,256 位 时 的 字 节 数组 如 表 A-4, A-5 和 A-6 所 示 , Ny 
分 别 为 4.6 和 8。 


表 A-4 BARKEA 128 时 的 状态 


算法 中 的 加 密 解 密 变 换 是 迭代 进行 的 , 它 的 重复 次 数 称 为 圈 数 ,用 N, 表示 。N, 由 
Ny, 和 Ny 共同 决定 ,其 具体 的 数值 如 表 A-7 所 示 。 


R A-7 算法 变换 的 圈 数 


A.2 HE 


Rijndael 加 密 算法 中 的 圈 变 换 由 4 个 不 同 的 变换 所 组 成 ,分 别 为 Byte Sub, Shift 
Row,Mix Column 和 Add Round Key。 用 伪 C 语言 可 将 它 表 示 为 : 


Round( State, RoundKey) 
{ ByteSub(State) ; 
ShiftRow(State) ; 
MixColumn( State); 
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AddRoundKey( State, RoundKey) ; } 


加 密 算 法 的 最 后 一 轮 略 有 不 同 , 去 掉 了 Max Column(State) ,具体 如 下 所 示 : 


FinalRound( State ,RoundKey) 
{ByteSub( State) ; 
ShiftRow( State) ; 
AddRoundKey( State. RoundKey) ; } 


下 面 分 别 对 每 个 变换 的 具体 算法 进行 介绍 。 
A.3 FURR 

字 节 代 换 (Byte Sub) 独 立地 对 状态 的 每 个 字 节 即 状态 数组 中 的 每 个 元 素 进 行 非 线 性 
变换 ,又 称 为 S 盒 变换 。 它 分 为 两 步 进行 。 

(1) 首先 ,将 字 节 看 作 GEO’) FTC. WR BIA AY FEE WET “OO” MRA SIA. 
GF(2) 上 的 二 进 制 多 项 式 OC) RROA Cae) A a (rb C x) mod m(x) =1 


的 多 项 式 alr). 
(2) 其 次 ,对 字 节 做 如 下 的 仿 射 变换 : 
Yo | Orra To 1 
v1 1 fo 0 O T DT Tia 1 
yz L I Ge. Ll 0 
ys I tt ft. O@ g T3 0 
ys OE i O 0-0 Li. fa 0 
ys 9 人 a 1 
ys OO I be bod I Olas 1 
yr o 0 0 1 1 1 1 Vir 0 
图 A-3 是 Ny 为 6 时 字 节 代 换 的 示意 图 。 
aoo | ao as} Se 
aio | arı ais 
a20 | 421 a25 
a3o | a3ı a3s 


图 A-3 字 节 代 换 示意 图 (Nb 一 6) 


A.4 行 移 位 

行 移 位 (Shift Row) 将 状态 数组 的 每 一 行进 行 移 位 , 移 位 量 随 不 同 的 行 而 不 同 。 第 0 
行 不 移动 ,第 1 行 循环 左 移 Ci 个 字 节 ,第 2 行 循环 左 移 Co 个 字 节 ,第 3 行 循环 左 移 Cs 个 
字 节 。 位 移 量 C1 CC 的 取 值 与 N, 有 关 : 它 们 的 关系 如 表 A-8 所 示 ,图 A-4 是 No 为 6 
时 行 移 位 的 示意 图 。 
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表 A-8 ”对 应 于 不 同 分 组 长 度 的 位 移 量 


左 移 0 位 


ao | aos aos 无 移 1 位 EO 


Ago | ao 


aio fan 


ao2 


al2 


al3 | al4 | ais 


左 移 2 位 | 


a20 


a21 | a22 


T3 15 | 410 

a23 | a24 | a25 TT 25 | a20 | a21 
左 移 3 位 

ass | ass a35 [_ Spas aso | ası a32 


图 A-4 TEIR E E ON =6) 


a32 


a30 | a3) 


A.5 列 混合 


在 列 混合 (Mix Column) 变 换 中 ,将 状态 阵列 的 每 个 列 视 为 GF(2 ) 上 的 多 项 式 , 再 与 
一 个 固定 的 多 项 式 c(x) 进 行 模 a +1 乘法 。Rijndael 的 设计 者 给 出 的 c(Cz) 为 (系数 用 十 
六 进 制 表示 ) : 
elx) 一 “03“zs +/01'x? +/01'x +/02’ 
因为 cia) Bat +1 是 互 素 的 ,从 而 保证 cl(x) 存 在 逆 多 项 式 d(x). Til Ca) d(x) =1 
mod x! 十 1。 列 混合 运算 也 可 写 为 矩阵 乘法 。 设 4b(z) 二 cz)@al(z), 则 


A 02 03 01 01\(ao 
bi ol 02 03 ol||。 
Bl lor or 02 03]} az 
bi 03 01 01 02 八 。 


图 A-5 是 N, 为 6 时 的 列 混合 的 示意 图 。 
aoo | aor | ao ao; ag] Ww) 
Ajo} all | aig aij 4| ais 

24 


30 | 431 =] a3; 34 | a35 
J 


图 A-5 列 混合 示意 图 (N, 一 6) 


A.6 ZAH 


密 钥 加 (Add Round Key) 是 将 圈 密 钥 与 状态 进行 逐 比 特异 或 的 过 程 。 圈 密 钥 根据 密 
钥 产 生 算法 通过 密 钥 得 到 。 圈 密 钥 的 长 度 与 数据 块 长 度 相等 。 图 A-6 所 示 是 密 钥 加 运 
算 的 示意 图 。 
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aoo | aol | aoz | aos | ao4 | aos Koo | Kor | Koz | kos | Kos | Kos boo | bor | boz | bos | bos | bos 
Ajo | all | 12 | 413 | al4 | ais kio | ku | Ki2 | Kis | Kis | kis bio | bir | ba | bis | bia | bis 
a20 | a21 | a22 | a23 | a24 | as © kao | Kar | kaz | kəs | Koa] kas | | bzo | bar | b22 | bas | bza | bzs 
a3o | ası | @32 | a33 | a34 | ass kso | ksi | k32 | kas | ks | kss bao | bsi | b32 | b33 | b34 | bss 


图 A-6 Ina AR E E N = 6) 


A7 圈 密 钥 产生 算法 


圈 密 钥 产生 是 指 从 种 子 密 钥 得 到 圈 密 钥 的 过 程 。 它 分 两 步 进行 : BR AP H 
选择 , 且 遵 循 以 下 原则 : 

(1) 由 于 要 进行 N, 十 1 次 密 钥 加 变换 ,每 次 所 需 的 密 钥 长 度 等 于 数据 块 长 度 , 因 此 圈 
密 钥 的 比特 总 长 度 为 数据 块 长 度 与 N, 十 1 的 乘积 。 例 如 ,对 于 128 位 的 分 组 长 度 , 圈 密 钥 
的 总 长 度 为 1408 位 。 

(2) 首先 将 密 钥 扩展 为 一 个 扩展 密 钥 。 

(3) 再 从 扩展 密 钥 中 选 出 圈 密 钥 : 第 一 个 圈 密 钥 由 前 面 的 Ns 个 字 组 成 ,第 二 个 圈 密 
钥 由 接 下 来 的 Ny 个 字 组 成 , 依 此 类 推 。 
A.8 SAR 

扩展 密 钥 是 以 4 字 节 字 为 元 素 的 一 维 阵 列 ,表示 为 WEN, X(CN: 十 1)]。 其 中 ,前 N 个 
字 为 种 子 密 钥 ,后 面 的 每 个 字 都 由 它 前 面 的 字 经 过 递归 方式 定义 。 根 据 Ni 三 6 和 Nk 二 6 
两 种 情况 ,扩展 算法 略 有 不 同 。 

d) 当 Ni 三 6 时 ,扩展 算法 如 下 : 


KeyExpansion(byte Key[ 4 * Ne ],WLN, * (N; + 1) ]) 
{ 


for(i =0;i<N,;it++) 
WLi] = (Key[4 + i],Keyl4* i+1].Key[4* i+2],Key[4*i+3]); 
for(i=N,;i<N, * (N, +1);i++) 
{ 
temp = WLi-1]; 
if(i% N ==0) 
temp = SubByte(RotByte( temp) )^Rcon[ i/N |; 
WLi] =WLi-N, Jtemp; 
} 
} 


其 中 ,KeyL4 * Ny DAPIT 28 5A. AEF 7 EY — AE 4), PR BL SubByte() ik 
回 4 字 节 字 , 其 中 每 一 个 字 节 都 是 用 Rijndael 的 S BPE BHA SOA BB. PH 
数 RotByte() 也 返回 4 字 节 字 , 该 字 由 输入 的 字 循 环 移 位 得 到 , 即 当 输入 字 为 (a,b,c,d) 
时 ,输出 字 为 (b,c.,d,a)。 

从 算法 可 以 看 到 ,扩展 密 钥 的 前 Ni 个 字 即 为 种 子 密 钥 ,之 后 的 每 个 字 WL 
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一 个 字 W[i 一 1] 与 N 个 位 置 之 前 的 字 WL[i 一 Nxj 的 异 或 ; 不 过 当 /IN 为 整数 时 , 需 先 将 
前 一 个 字 W[i 一 1j 经 过 以 下 一 系列 的 变换 。 
1 字 节 的 循环 移 位 RotByte 习 用 S 盒 进 行 变换 SubByte 习 异 或 轮 常 数 Reon[i/ Nj]。 
(2) 当 N>6 时 ,扩展 算法 如 下 : 
KeyExpansion(byte Key[ 4 * N, |,W[N, * (N; +1) ]) 
{ 
for(i= 0;i<~Ne;i++) 
W[i] = (Key[ 4 * i],Key[4*i+1],Key[4*i+2],Key[4*i+3]); 
for(i=N;i<N, * (N, +1);i++) 
{ 
temp=W[i-1]; 
if(i% N, == 0) 
temp = SubByte(RotByte(temp) )~Rcon[_i/N, |; 
else if(i% Ne == 4) 
temp = SubByte( temp) ; 
WLi] =WLi-N, temp; 


} 
Nu > 6 相 比较 于 Ni 三 6 的 情况 ,其 密 钥 扩 展 算法 的 区 别 在 于 : 当 i 为 Ny 的 4 倍数 
时 , 须 先 将 前 一 个 字 W[i 一 1j 经 过 SubByte 变换 。 
以 上 两 个 算法 中 ,Recon[i/Nij 为 轮 常数 , 它 的 值 与 Ny 无 关 , 定 义 为 ( 字 节 用 十 六 进 制 
表示 ,同时 理解 为 GF(2) 上 的 元 素 ) 
Reon[i] = (RC[i],‘00’,‘00’,‘00’) 
其 中 ,RC[Li 订 时 GF) Py x Wyse. Ate 
RC[1] = 1( 即 “01?) 
RC[i] = x (B) *02°) RCLi— 1] = x 


A.9 圈 密 钥 的 选取 


圈 密 钥 i 由 圈 密 钥 缓冲 区 WON, * 让 到 WON, * (i 十 1) 一 1] 的 字 组 成 。 例 如 ,N, 二 6 
H Nk 一 4 的 圈 密 钥 选择 如 图 A-7 所 示 。 


Waa] Wis) Wis -| 


Wo | Wi | W2 | W3 [ Wa] Ws | Wo | W7 Wi 


3 


“jw w 


圈 密 钥 0 圈 密 钥 1 


图 A-7 N,=6 A NN 一 4 时 的 密 钥 扩展 与 圈 密 钥 选取 


A.10 Rijndael 加 密 算 法 


根据 前 面 的 描述 ,可 以 将 Rijndael 的 加 密 算 法 概括 成 以 下 组 成 部 分 : 
(1) 一 个 初始 圈 密 钥 加 法 变换 。 
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(2) N AKE. 
(3) 最 后 一 圈 变 换 。 
HH C 语言 表示 为 : 


Rijndael(State,CipherKey) 


{ 
i 


KeyExpansion(CipherKey,ExapndKey) 
AddRoundKey( State ,ExpandKey) 
for(i =1;i<N,;i++) 
Round(State.ExpandKey[ N, * i]) 
{ 
ByteSub( State) ; 
ShiftRow( State) ; 
MixColumn( State) ; 
AddRoundKey(State.ExpandKey[N, * i]); 
} 
FinalRound(State.ExpandKey[ N, * N, ]) 
{ 
ByteSub( State) ; 
ShiftRow( State) ; 
AddRoundKey( State.ExpandKey| N, * N; ]); 


A.11 Rijndael 解密 算法 


Rijndael 解密 算法 的 结构 与 加 密 算法 的 结构 相同 ,其 中 的 变换 为 加 密 算法 变换 的 首 
变换 , 且 密 钥 扩 展 策略 稍 有 不 同 。 


1. 逆 变 换 


A) 字 节 代 换 (Byte Sub) 的 逆 是 Rijndael H S 盒 逆 作用 到 状态 的 每 个 字 节 上 。 首 
先 , 进 行 下 式 中 的 逆 变 换 


o o 10 0 2 0 1 Yo 1 Xo 
100 1 0 0 1 0 1 1 Tı 
Oo 1 0 区 TO O 1 yz 0 X2 
10100 1.0 flls 0 as 
0101001 Off] x, Ltt bas, 
00101 0 0 | 1 Xs 
10.0 1.0 1 0 Off] yx. 1 ed 
0100101 Oty, 0 pa 


然后 ,再 取 GF C25) EAR. ERP KAE E RE TA PR CA. 3) P EY 2E 
矩阵 。 
(2) 行 移 位 (Shift Row) 的 逆 是 状态 的 后 3 行 分 别 移动 Ne — C: s Ne — C: 和 Nb 一 Cs 
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AF Pa 
(3) ANEA Mix Column) 的 道 类 似 于 Mix Column 自己 ,状态 的 每 列 都 乘 以 一 个 固 
定 的 多 项 式 d(x): 


d(x) = '0B’x? 十 "0D'z2 +'09’x 十 ‘0E’ 
可 以 验证 ,d(x) 与 前 面 列 混合 小 节 (A.5) 中 的 c(x) 的 积 等 于 单位 元 “01”。 所 以 ， 
dak cla) Wii Bw. 
(4) 密 钥 加 (Add Round Key Mii REE AC. 


2. 逆 圈 变换 的 定义 
由 上 面 的 结论 , 逆 圈 变换 的 定义 如 下 : 


Inv_Round(State, Inv_RoundKey) 
{ 
InvByteSub( State) ; 
InvShiftRow( State) ; 
InvMixColumn( State) ; 
AddRoundKey( State, Inv_RoundKey) ; 
} 


最 后 一 圈 的 逆 变 换 如 下 : 


Inv_Round (State, Inv_RoundKey) 
{ 
InvByteSub( State) ; 
InvShiftRow( State) ; 
AddRoundKey( State, Inv_RoundKey) ; 


3. 解密 算法 
由 以 上 的 描述 ,可 将 Rijndael 的 解密 算法 表述 如 下 : 


Inv_Rijndael(State,CipherKey) 
{ 
Inv KeyExpansion(CipherKey, Inv_ExpandKey) ; 
AddRoundKey( State. Inv_ExpandKey[N, * N, |); 
for(i=1;i<N,;it+ ) 
Inv_Round( State, Inv_ExpandKey[N, * i]); 
{ 
InvByteSub(State) ; 
InvShiftRow( State) ; 
InvMixColumn( State) ; 
AddRoundKey( State, Inv_ExpandKey[N, * i]); 
} 
Inv_FinalRound(State, Inv_RoundKey) 
ri 


4 
InvByteSub(State) ; 
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InvShiftRow( State) ; 
AddRoundKey( State, Inv_ExpandKey) ; 


} 


其 中 ,解密 算法 的 密 钥 扩展 定义 为 : 
(1) 加 密 算 法 的 密 钥 扩展 。 
(2) 把 Inv Mix Column 应 用 到 除 第 一 和 最 后 一 圈 外 的 所 有 圈 密 钥 上 。 
H C 语言 表示 如 下 : 
Inv_KeyExpansion(CipherKey. Inv_ExpandKey) 
{ 
Key_Expansion(CipherKey, Inv_ExpandKey) ; 
for(i=1;i<N,;it++) 
InvMixColumn( Inv_ExpandKey + Nb * i); 


B 公 和 钥 密 码 一 一 椭圆 曲 线 加 密 算法 


公开 密 钥 密 码 ,简称 公 钥 密 码 ,该 体制 在 加 密 和 解密 时 使 用 不 同 密 钥 , 即 加 密 功能 和 
解密 功能 分 开 。 其 中 ,每 个 用 户 保 存 一 对 密 钥 , 即 公 钥 PK 和 私 钥 SK .PK 是 公开 信息 ,不 
需要 保密 , 且 通 过 给 定 的 公 钥 要 确定 出 私 钥 在 计算 上 是 不 可 行 的 。 

公 钥 密码 体制 有 两 种 基本 的 模型 : 一 种 是 加 密 模型 ,一 种 是 认证 模型 ,分 别 如 图 B-1 
和 图 B-2 所 示 。 


密码 分 析 者 


明文 [六 密 文 原始 明文 


加 密 | 解密 
A = B 
PKg SKg | 


图 B-1 加 密 模 型 


密码 分 析 者 
消息 密 文 | 消息 
=| 入 =| isi =- 
A i 签名 -消息 对 = B 
skal pk 


图 B-2 认证 模型 


目前 ,比较 常用 的 公 钥 密码 算法 包括 RSA[RFC 78], ElGamal[RFC 2440], Diffie- 
Hellman[RFC 2631,RFC 2875] 以 及 ECC[RFC 3278] 等 。 下 面 将 主要 介绍 ECC 体制 的 
相关 内 容 。 
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1985 年 ,N. Koblitz 和 V. Miller 分 别 独立 提出 了 椭圆 曲线 密码 体制 (ECC) ,其 安全 
基于 椭圆 曲线 离散 对 数 问 题 的 难 解 性 。 椭 圆 曲 线 指 的 是 由 Weierstrass 方程 : 
y 十 airzy 十 asy xz? 十 az 十 as 工 十 ae (B-1) 


所 确定 的 平面 曲线 ,其 中 ,系数 a;(i 二 1,2,3,4,6) 定 义 在 某 个 域 上 ,可 以 是 有 理 数 域 . 实 数 
域 .复数 域 ,也 可 以 是 有 限 域 等 。 


B.1 椭圆 曲线 的 选取 


要 建立 椭圆 曲线 密码 体制 ,首要 的 问题 是 选取 一 个 合适 的 背景 有 限 域 K 及 在 K 上 选 
取 一 条 合适 的 椭圆 曲线 E/K。 从 实用 观点 看 ,K 有 两 种 选择 : 大 素 域 Z 或 特征 为 2 的 有 
限 域 GF(2*)。 从 近年 来 的 实践 结果 看 ,大 素 域 更 为 有 效 一 些 。 椭 圆 曲 线 的 选取 则 要 考虑 
安全 性 ,实用 性 等 诸多 因素 。 有 些 密码 体制 (如 ElGamal 签名 体制 .DSS 签名 体制 ) 需 要 
知道 下 的 阶 # 下 (K) 或 #E(CK) 的 一 个 大 素 因 子 。 另 一 些 体 制 ( 如 Diffie-Hellman 密 钥 交 
换 协 议 ElGamal 密 钥 体制 ) 虽 不 需要 知道 ECK) 的 阶 , 但 为 避免 Pohlig-Hellman 攻击 , 需 
保证 #E(K) 中 有 大 素 因 子 。 椭 圆 曲 线 的 选取 现 有 两 种 可 以 考虑 的 方法 。 


1. 随机 选取 


随机 选取 一 条 椭圆 曲线 E/K ,计算 其 阶 参数 #E(K), 直 到 获得 满意 的 曲线 为 止 。 由 
于 这 种 方法 的 随机 性 ,从 安全 性 角度 来 讲 这 是 一 种 理想 的 方法 。 

Hasse 定理 告诉 我 们 一 个 关于 #E(C(K) 的 估计 : 令 #E(K) 二 gq 十 1 一 t, 则 |z| 三 2Vg。 
但 要 具体 求 出 #E(K) 却 并 非 易 事 ,Schoof 在 这 方面 作出 了 开创 性 的 成 果 。 令 pg 是 E(F,) 
2( 瓦 ) 上 的 Frobenjus 自 同 态 : 

g: TI laty) Y Cray) E EC(F,) (B-2) 

其 特征 方程 为 gp? —tpt+q=0. iP tE Z.|\t|<2Vq. F# ECF, =qtl—-t. whl 是 一 个 
I) RED A ECF,) 的 :一 扭 点 构成 的 子 群 ,通过 将 og 限制 在 E() 中 。 利 用 搜索 可 求 出 
t WE t= mod L, 即 对 于 小 素数 ! 可 求 出 1 mod lo 

Schoof 算法 的 基本 思想 就 是 对 一 系列 小 素数 /二 3,5,7,…, 工 ,其 中 ,L 满足 [|/ > 4a 


t<L 
1 天 户 


求 出 上 mod ,从 而 由 中 国 剩余 定理 得 到 并 下 (K) 。 

Schoof 的 这 个 算法 具有 时 间 复 杂 度 O Clogs g) ,理论 上 是 个 有 效 算 法 ,在 实际 中 却 不 
实用 ,但 这 个 方法 指出 了 求 算 #E(K) 的 一 个 努力 方向 ,引起 了 极 大 关注 。 自 此 以 后 ,围绕 
计算 * mod ! 已 有 大 量 成 果 发 表 出 来 ,并 且 在 方法 的 实现 上 有 了 较 大 进展 。 


2. 构造 给 定 阶 的 椭圆 曲线 


Atkin 和 Morain 的 论文 “Elliptic Curves and Prrmality Proving”, 使 人 们 看 到 了 获得 
密码 体制 所 需要 的 椭圆 曲线 的 另 一 条 途径 ,该 文 提出 的 利用 复 乘 构造 素 域 Z 上 具有 特 
定 阶 椭圆 曲线 的 思想 及 方法 已 引起 了 广泛 关注 ,并 被 多 篇 论文 讨论 改进 。 密 码 标准 
IEEE P1363 也 采用 了 该 策略 作为 生成 椭圆 曲线 的 方法 之 一 。 椭 圆 曲 线 的 构造 方法 如 下 : 
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设 也 是 一 个 负 奇 基本 判别 式 , H, NORR D 的 Hilbert 类 多 项 式 , 又 设 p 是 一 个 素 
数 , 若 整数 x,y 满足 4p 一 x? 十 Dy , 则 对 只 太 ,(X) 的 任意 关于 模 p 的 根 j 必 存 在 j 一 ,不 
变量 为 j 的 椭圆 曲线 Z, 满足 

4#E(Z,) = (x —2)? + Dy? (B-3) 
虽然 椭圆 申 线 不 能 由 j 一 不 变量 唯一 确定 ,通过 j 一 不 变量 j 找 出 满足 式 (B-3) Ao HH 
圆 曲 线 是 容易 的 。 事 实 上 7 一 不 变量 为 7 的 椭圆 曲线 恰 构 成 2 个 等 势 的 同 构 类 。 

下 面 是 构造 素 域 Z,(p 二 3) 上 的 素数 阶 椭圆 曲线 的 方法 的 简化 描述 。 

(1) 取 定 负 奇 基本 判别 式 D, 使 其 具有 小 的 类 数 ( 比 如 ,D 一 19)。 

(2) 在 适当 范围 内 ,随机 选取 整数 xz,y S 4p 二 x 十 Dy’ ,检测 g 的 素性 ,直到 g 是 素 
数 为 止 。 

G) $ 4p 一 (z 十 2)2 十 Dy ,检测 p 的 素性 ,车 pp 不 是 素数 ,返回 (2), 直 到 pp 为 
素数 。 

(4) 计算 H,CX)=0 mod p 的 根 j FA D 具有 小 的 类 数 ,该 方程 易 解 。 

(5) 构造 j 一 不 变量 为 j 的 椭圆 曲线 请:y = +axrt+b. WEILE cZ. 在 FE:y = 
如 十 Caz 十 6b 上 任 取 一 点 P 关 0, 判 断 gP 二 0, 直 到 成 立 。 

可 以 证 明 ,算法 结束 时 EEA Z, Ea 阶 椭圆 曲线 。 

该 算法 具有 较 高 的 效率 ,可 轻易 在 大 素 域 Z, 上 构造 出 素数 阶 椭圆 曲线 。 

受到 MOV 归 约 的 启示 ,人 们 对 利用 复 乘 构造 椭圆 曲线 的 方法 存在 着 某 些 疑 虑 。 对 
2 的 形状 的 限制 ,对 DD 的 限制 是 否 会 影响 体制 的 安全 性 ? 国内 外 密码 学 家 对 此 广泛 关注 。 
但 到 目前 为 止 ,没有 任何 线索 说 明 这 种 曲线 存在 弱点 。 

这 里 介绍 的 椭圆 曲线 密码 是 基于 有 限 域 Ff, 上 椭圆 曲线 有 理 点 群 的 一 种 密码 系统 。 
下 面 给 出 有 限 域 ,上 的 椭圆 曲线 琅 。 为 简单 起 见 . 设 p 是 一 个 大 于 3( 即 p 三 5) 的 素数 ， 
有 限 域 Ff, 上 的 椭圆 曲线 EE 是 定义 在 仿 射 平面 上 的 3 次 方程 EE: 

y=at+art+b (B-4) 
所 有 解 与 无 穷 远 点 o 构成 的 点 集合 , 记 作 
ECF,) = { (x,y) | y = z? +axr+6,(x,y) E F, * F,} U {0} (B-5) 
这 是 一 个 有 限 集合 ,其 中 ,p 是 素数 ,a,bEF, A 4a +270 AOE F,. ECF,) WHR 
用 #E(F,) 表 示 。 由 Hasse 定理 可 知 
P+1—2V/P < HEF) <P+14+2V/P (B-6) 
点 集合 EC(F,) 对 应 下 面 的 加 法 规则 构成 一 个 群 , 即 

A) 单位 元 o: 0o 十 0 二 0, 对 任 一 PE E(F,).4& 0+ P=P+0=P. 

(2) 对 任 一 PEE(F,),P 二 (zx,y) 关 0, 则 存在 一 PEE(F,), 一 P 二 (zx, 一 y) 满 足 P+ 
(一 P) 二 o( 即 点 (xz,y) 道 为 (x .一 y))。 

(3) 设 P,Q,REE(F,), 则 (P 十 Q) 十 R= 二 =P 十 (Q 十 R)。 

(4)〔 两 个 不 同 且 不 互 逆 的 点 的 加 法 规则 ) 令 P,QEE(F,),P= ay) QS (zs， 
y2), 且 满足 zi 了 关 xz, 则 尺 二 P 十 Q 一 (xs ,ys)EE(F,), 其 中 

A= (ys — 1) /(a2 — 21) (B-7) 
Ta = À? — Tı — T2 (B-8) 
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ys = ACa1 — 43) — yı (B-9) 
(5) 《信和 点 规则 ) 令 P= (21-91) C ECF,) +9140 WW) R=2P=(23+93) CECF,) ,其 中 
A= (323 +a)/2y, (B-10) 
zy = X = 22, (B-11) 
y3 = ACa1 — 243) — 1 (B-12) 


可 通过 椭圆 曲线 加 法 群 的 几何 意义 验证 群 E(F,) 是 阿 贝 尔 群 , 即 对 任意 P,QE 
E(F,), 有 了 P 十 Q 一 Q 十 P。 如 果 #E(F,) 二 p 十 1, 曲 线 就 称 为 是 超 奇 异 的 ,否则 称 为 是 非 
超 奇 异 的 。 文 中 以 下 讨论 的 都 是 非 奇 异 的 满足 上 述 条 件 的 椭圆 曲线 。 

在 EE(F,) 中 选 一 个 点 卫 , 称 为 基点 , 记 了 PP 的 阶 为 n ,通常 要 求 n 是 一 个 大 素数 。 每 个 
用 户 选取 一 个 整数 e(1 三 e 二 n) 作 为 其 私 钥 , 而 以 点 D==eP 作为 其 公 钥 ,这 样 就 形成 一 个 
椭圆 曲线 公 钥 密码 系统 (ECC)。 每 个 用 户 的 公 钥 都 是 该 系统 的 公开 参数 ,每 个 用 户 的 私 
钥 都 是 保密 的 。 

假设 用 户 A BOK WAC m (0 二 mr 二 p) 加 密 后 发 送 给 BLA 首先 要 查 得 B 的 公 钥 De , 然 
后 进行 以 下 的 加 密 运 算 : 

(1) 取 随 机 数 kE Z,A kP= (xi ,yi1)。 

(2) 计算 EDs 一 (zs ,yz)。 

(3) 计算 密 文 c= mO@O-ax. (将 mr Mae: 用 二 进 制 表示 ,然后 按 位 模 2 加 ), 将 (czi,y) 

B 收 到 A 发 来 的 信息 后 ,进行 下 述 的 运算 : 

(1) 计算 es(Czi,y) 一 (zzyyz)ves 为 也 的 私 钥 。 

(2) 计算 c=m@2xz ,得 到 明文 m。 

KH eg Cri syi) =egkP =kDg = Cx: ,yz), 则 上 述 加 、 解 密 运算 都 是 正确 的 。 

假设 点 QEF EK P 的 倍数 的 点 , 即 存在 整数 k(0 三 k 三 n 一 1) ,使 得 Q=APE 
E(F,)。 由 和 PP 计算 Q=kP 可 以 利用 加 法 公式 ,而 由 Q 和 PP 来 求 & 是 一 个 困难 的 问 
BCH n IRAKAT ,这 就 是 椭圆 曲线 上 的 离散 对 数 问题 。 从 椭圆 曲线 密码 系统 的 形成 很 容 
易 了 解 到 ,ECC 的 安全 性 是 建立 在 离散 对 数 计算 难度 之 上 ,如果 离散 对 数 可 以 计算 ,从 一 
个 用 户 的 公 钥 就 可 得 到 他 的 私 钥 ,ECC 就 不 安全 了 。 在 应 用 椭圆 曲线 公 钥 密码 时 ,最 主 
要 的 计算 量 在 计算 RP. 

椭圆 曲线 密码 体制 的 男 一 个 重要 用 途 是 进行 数字 签名 。 在 计算 机 网 络 通 信 中 ,数字 
签名 可 用 于 确认 发 信人 的 身份 ; 发 现在 传输 过 程 中 ,信息 m 是否 被 非法 算 改 ; 具有 不 可 
抵赖 、 不 可 更 改 性 。 

椭圆 曲线 密码 系统 (ECC) 相 对 于 其 他 公 钥 密码 系统 .具有 计算 速度 快 ,存储 空间 小 ， 
带宽 要 求 低 等 优点 ,受到 了 人 们 的 广泛 关注 ,成 为 最 有 希望 的 公 钥 密码 系统 。 与 此 同时 存 
在 很 多 因素 影响 椭圆 申 线 公 钥 密码 系统 的 运算 速度 .如 椭圆 曲线 系统 的 参数 选取 (所 在 的 
有 限 域 , 域 元 素 的 表示 形式 ,椭圆 曲线 的 形式 ) 等 。 此 外 ,还 受 所 需要 的 安全 强度 ,应 用 平 
台 ( 软 件 ,硬件 或 软 硬 结 合 ) ,特殊 的 通信 环境 (如 带宽 ) 的 限制 。 关 于 椭圆 曲线 公 钥 密码 系 
统 的 研究 主要 有 以 下 3 个 方向 : 椭圆 曲线 公 钥 密码 体制 的 构造 椭圆 曲线 密码 体制 的 分 
析 和 椭圆 曲线 公 钥 密码 体制 的 快速 实现 。 
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B.2 典型 的 椭圆 曲线 加 密 体 制 


现 有 的 椭圆 曲线 密码 体制 均 是 从 其 他 群 中 平移 而 来 ,并 未 针对 E(K) 产 生 新 型 密码 
体制 ,而 这 种 平移 主要 是 对 基于 离散 对 数 问 题 的 密码 体制 ,虽然 也 有 RSA 体制 的 平移 ,但 
并 无 实用 及 理论 价值 ,下 面 给 出 了 一 些 基于 离散 对 数 体制 的 讨论 。 

设 G 是 一 个 有 限 群 ,a,b EG。 若 存在 正 整数 使 得 a 二 5b, 则 称 为 群 G 中 是 2 的 以 a 
为 底 的 离散 对 数 , 记 为 n 二 log,b ,给 定 a,b EGR n=logb 称 为 G 中 的 离散 对 数 问 题 , 特 
别 地 ,车 P,QEE(If/), 求 nn 使 得 nP 王 Q, 称 为 椭圆 曲线 离散 对 数 问 题 。 

将 ElGamal 加 密 体 制 直接 平移 到 椭圆 曲线 群 上 .得 到 的 密码 体制 将 需要 首先 把 加 密 
的 明文 转化 为 椭圆 曲线 上 的 点 ,而 后 才能 进行 加 密 , 这 在 实用 上 较为 麻烦 ,为 避免 这 个 麻 
Hi , Menezes 和 Vanstone 对 该 体制 作 了 一 点 轻微 的 修改 。 下 面 介 绍 的 EC-ElGamal 体制 
采用 了 这 种 改进 形式 。 


1. EC-ElGamal 加 密 体 制 


(1) 选取 有 限 域 OK MiA He E/K 及 基点 PEE (K)( 这 些 参 数 可 由 一 组 用 户 公 
用 )。 

(2) 选取 随机 数 wa, 计算 Q =aP. 

(3) 公开 K,E,P,Q 作为 公 钥 , 密 藏 a 作为 私 钥 。 

假设 Alice 已 建立 了 上 述 体制 ,给 Alice 发 送 秘密 消息 M 二 (Mi .M,) © KX K 需 完成 
如 下 步骤 ， 

D 随机 选取 正 整 数 &。 

© 计算 kP.RQ=(2.y) 4 r=0 M y=0 返回 第 @ 步 ,直到 zx 天 0,y 天 0。 

© 发 送 C= 二 (kP,Mix,Mzy) 给 Alice. 

收 到 密 文 C 后 ,Alice 计算 a(kP)= (a, y) ,进而 得 到 明文 M=(M,.M,). 


2. EC-DSS 签名 体制 


(1) 选取 有 限 域 K MRAR E/K HER PEE (K), W<P> h PERK q 阶 循 
环 子 群 ,9 是 一 个 大 素数 。 

(2) 选取 随机 数 x ,0 二 x 二 gq 计算 Q==xP。 

G) 选取 单 向 Hash 算法 H:M>Z. FEM 是 消息 空间 ,Z 是 整数 集 。 并 选取 双 射 

g< p>— {0,1g — 1} 

(4) K,E,P,Q,g,g 均 为 公开 信息 。 作 为 签名 验证 公开 钥 ,z 作为 签名 密 钥 。 设 有 消 
B mEM. X? m 的 签名 过 程 如 下 。 

© 随机 选取 整数 k 0<k<q. 

@ H# R =kP. 

© 解 同 余 方 程 Hm) = —agCR)+ks mod q. 

对 m 的 签名 为 (R,s) .签名 验证 方程 为 

(CH(m)s™ mod q)P + (g(R)s mod g9Q=R (B-13) 


B.3 常见 的 椭圆 曲线 协议 简介 


(1) 椭圆 曲线 加 密 体 制 (elliptic curve encryption system, ECES) 

其 一 般 步骤 如 下 。 

© 选取 合适 的 有 限 域 F, ,EE, 建 立 一 个 消息 空间 PB AA Be BE AY RAR A6 
信息 编码 : n: P>E,n:m pr. 

© FF Er Dg 是 以 离散 对 数 为 基础 的 加 解密 算法 .将 此 算法 换 成 ECDLP ,得 : 

E,:E > E, E,:m > E, (pn) (B-14) 
D,:E —> E, E; :m> D; Pm) (B-15) 

@ 反 编 码 : x !:P>E,x m Pno 

目前 ,还 没有 有 效 的 编码 方法 ,可 行 的 有 概率 编码 法 。 

(2) 椭圆 曲线 密 钥 交换 体制 (elliptic curve Diffie-Hellman, ECDH) 

密 钥 交换 体制 如 下 : 

选择 p~ 2! E,(a.b):y =x +arth ER G 的 阶 为 大 素数 。 设 A,B 两 用 户 分 别 
产生 各 自 的 公私 钥 对 (QA ona) + (Qs,na)，, 则 密 钥 交换 体制 产生 双方 的 公共 密 钥 及 如 下 : 

D Qa=naG Qe SnG. 

© k=naQs =nsQA=nansG 。 

该 方法 并 不 能 证 明 私 钥 的 所 属 权 。 

(3) ECELG-ElGamal 加 密 体 制 

设 x:P>E,mF> p n» Æ H X F H R WJA GEE 为 基点 。 

O A 选择 NasQa=naG. 

© BEHA KARE m, WEP BL bE m, RIK (RG. Putka). 

OA 解密 消息 : (Pra +RQa) 一 na (RG) 二 Pn 十 knaG 一 nakG = Pn o 

(4) ECMO-Massey-Qmura 加 密 体 制 

EEK AF RSA 的 椭圆 曲线 加 密 算法 。 设 ECF,).N= +4 ECF,).21:P>E.mt> pno 

A 选取 eh, 私 钥 da 内 满足 eada 三 1 mod N.1<mod N.1<d,<N.W 

Cu = ePm Pm = daCm = ead AP n (B-16) 

(5) ECIESCelliptic curve integrated encryption scheme) 

椭圆 曲线 综合 加 密 标准 是 一 种 以 密 钥 交换 为 基础 的 对 称 加 密 , 首 先 用 接收 者 的 固有 
密 钥 对 进行 ECDH 密 钥 交换 ,然后 产生 的 密 钥 用 于 对 称 加 密 。 

新 型 密 钥 交换 体制 (ECMQYV) 

MQV 将 取代 DH 作为 新 的 密 钥 交换 体制 ,通常 通信 双方 必须 用 他 们 的 私 钥 来 产生 
共享 密 钥 ,通过 该 体制 可 以 证 明 私 钥 的 所 有 权 。 这 可 以 保证 密 钥 交换 提供 更 强 的 认证 和 
保证 恶意 的 一 方 不 能 伪装 为 第 三 方 。 并 且 只 有 很 少 的 通信 和 量 和 不 重复 、 角 色 对 称 而且 不 
需要 加 密 和 时 间 戳 。 

ECMQV 过 程 如 下 : 假设 双方 Alice 拥有 椭圆 曲线 密 钥 对 (A,a) ,同样 Bob(B,b).P 
为 基点 ,已 经 通过 CA 认证 中 心 验证 拥有 的 公 钥 通过 可 信 方 式 交换 , 私 钥 的 所 属 权 也 得 以 
证 明 ; Alice 产生 临时 会 话 密 钥 对 (X,z)z 随机 产生 ,XX 二 xP; Bob 产生 会 话 密 钥 对 (Y,y) 
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随机 产生 ,Y= 二 yP。 

Alice 计算 Sa=(a+Ya) mod n( 称 为 固有 签名 ) (Cn 为 域 大 小 )。 

Bob 同样 方式 计算 Ss 二 (y 十 76) mod n. 

双方 共同 计算 共享 密 钥 : K=AS,(¥+YB)=hSp(a+XA) (h HAA Fa Ry (CR 
点 X 或 Y 的 第 一 个 域 元 素 的 前 工 比特 ,L== (log? ) 十 1/2)。 

安全 性 : 可 以 保证 第 三 方 不 能 伪造 双方 的 私 钥 所 属 权 .因为 第 三 方 没有 双方 的 私 钥 
a,b, 所 以 不 能 够 计算 出 K 值 。 如 果 双 方 通信 后 得 到 的 K 值 相等 , 则 说 明 双 方 的 身份 确 
定 , 密 钥 对 无 误 ; 否则 双方 拒绝 通信 ,从 而 防止 第 三 者 假冒 通信 双方 中 的 一 方 。 

通过 该 方式 ,可 以 确认 临时 密 钥 对 的 可 靠 性 。 通 信 过 程 如 图 B-3 所 示 。 


预 产 生 (4,a); 预 产 生 (B,b); 
产生 (Xx); 产生 (了 DJ 

计算 : 计算 : 
Sy=(x+Za)mod n ， 不 安全 信道 | Sg=(y+¥b)mod n 


K=hS,(Y+7B) K=hS,(X+ZA) 


图 B-3  ECMQV 密 钥 交换 体制 


B.4 椭圆 曲线 Menezes-Vanstone 加 密 算法 


Menezes-Vanstone 加 密 算法 可 以 较 好 地 发 挥 椭圆 曲线 加 密 的 优势 。 它 有 两 种 类 型 。 

(1) 素数 域 上 非 超 奇 椭 圆 曲 线 的 Menezes-Vanstone 加 密 算法 

BWE On sm) E F,\{0} XF,\ {0}, PE ECF, ) Æ E bt—^n Beh. HF P H DLP 
问题 是 困难 的 。 

用 户 A,B 选 取 各 自 的 密 钥 LA le ela dp © (253,07, —2) 3 n> 2”, 

用 户 A HST Qa =LaP ,将 Q AFMA BiA Q =P ,将 Qs 公开 ; 用 户 的 密 钥 对 
分 别 是 : Cy +Qa)+ (lp ,Qs)。 

A 加 密 过 程 : 

O A 获取 B MAH Qe. ,计算 (zi sy) = lBQA o 

© 计算 r:=m xı mod q, yz =m: yı mod g, 且 向 B 发送 消 息 (Q4, (xz ,yz))。 

B 解密 过 程 : 

D 计算 (za ,y1) 一 /AQa。 

© 计算 m 一 zzzil mod qm =yz2y1 mod g, 得 到 消息 M= (mi ,mz)。 

这 一 方案 对 任意 (Ca omz) E F {0} X FA (0) 都 可 以 编码 。 

注意 : 

中 如 果 ziy1 一 0, 则 A 重新 选取 公 钥 4. 但 这 种 情形 发 生 的 概率 很 小 。 

© 这 一 方法 的 膨胀 率 是 2。 

为 弥补 这 两 个 缺陷 ,算法 可 改进 为 : 用 户 B 向 A REAR IR CCQ loa) 92 y2) M 
不 是 发 送 消息 (Qa , (xe ,yz2)) ,其 中 , (Qa M 表示 Qa 的 工 分 量 ,cu 表示 yı 除 以 Tı 的 某 
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个 比特 。 这 时 , 密 文 膨胀 率 为 1. 5。 

(2) Foe 上 非 超 奇 椭圆 曲线 的 Menezes-Vanstone 密码 算法 

目前 ,常用 的 椭圆 曲线 玉 : y 十 Xxy 二 Xx Har +b,bE Fem ,aE1{10,7r) ,rr 的 迹 为 1。 

通常 , 取 a 一 0, 这样 可 以 在 售 点 公式 中 简化 计算 。 

加 解密 过 程 同上 ,但 是 在 弥补 缺陷 发 送 ((QaA): ,Los ,Xz，y2) 时 ,为 了 求 取 (Q4),, 选 
取 域 的 正规 基 : 

@ 如 果 r=0, W] y =b, W y= (yos Y1» s Ym-1) b= Cbo sbi 28 sbm—1 ) + W) Cym—1 yo, 
Mis ttt > Ym—2) = Cbo vbr 922% sbm—1) ,得 到 唯一 解 ; yo = Oy s yı =H be s* s Ym—2 =Om—1 > Ym—1 = bo o 

© 否则 ,对 方程 作 变 量 代 换 (z,y) 一 (zzz), 得 : 2 tz=xrtat+tbr?., St=at 
atbr” , 解 方程 z +2=t. 

令 z= (z202 r Zm) t= (to sti s**t stm) W]: Cemi F zos zo F zi stts Zm-2 F Zm) = 


Cto 二， 加 -1)。 进 一 步 可 计算 出 > 一 zz。 


C 部 分 Hash 算法 简介 


现 有 的 Hash 算法 主要 有 MD 系列 算法 [RFC 1320,RFC 1321,RFC 1828],RIPEMD 
算法 [RFC 2286,RFC 2857], HAVAL 算法 [FIPS-180],SHA 系列 算法 [RFC 3174、RFC 
4509], Whirlpool 算法 [RFC 3114、RFC 2634、FIPS-198],Tiger 算法 [FIPS- 180] 和 MDC 
系列 算法 [FIPS-186] 等 。 

下 面 分 别 对 所 列 的 其 中 一 些 算 法 进行 简要 介绍 。 


C.1 RIPEMD 算法 


欧洲 统一 市 场 的 集成 宽带 通信 计划 (IBC) 于 1996 年 提供 商业 应 用 。 欧 共 体 委员 会 
为 此 有 一 个 “欧洲 先进 通信 技术 研究 发 展 计划 ”(Research and Development in Advanced 
Communication Technologies in Europe, RACE)。 该 计划 中 有 一 个 子 项 目 RIPECRACE 
Integrity Primitives Evaluation) ,其 目标 是 采用 现代 密码 学 的 方法 提供 一 套用 于 保障 信 
息 系统 中 信息 完整 性 的 一 些 基 本 算法 .以 满足 IBC 的 安全 需求 。 

RIPEMD(RIPE Message Digest) 是 为 RIPE 项 目 研 制 的 , 它 是 MD4 算法 的 一 种 变 
JÉ ,压缩 函数 共有 3 轮 操作 ,产生 128 位 的 Hash 值 。 它 改变 了 循环 移 位 和 消息 字 的 顺 
序 , 而 且 该 算法 的 仅 常数 不 同 的 两 个 实例 是 并 行 运 行 的 ,最 后 将 两 个 实例 的 输出 相 加 就 得 
到 了 RIPEMD 的 Hash 值 。 

1995 年 ,Hans Dobbertin 找到 了 两 轮 版 本 的 RIPEMD 的 冲突 ,后 来 使 用 同样 的 技 
术 ,还 找到 了 完整 版 本 的 MD4 的 冲突 和 MDS 压缩 函数 的 冲突 。 

随 着 对 安全 性 要 求 的 提高 ,出 现 了 RIPEMD-160 和 RIPEMD-128; 因为 在 某 些 应 用 
中 需要 更 长 的 Hash 值 .又 出 现 了 RIPEMD-256 和 RIPEMD-320。 

RIPEMD-160 是 Hans Dobbertin、Antoon Bosselaers 和 Bart Preneel 于 1996 年 提出 
的 ,性 能 与 SHA-1 相似 . 它 没有 申请 专利 .是 开放 的 ,但 其 应 用 没有 SHA-1 广 , 因 而 对 它 
的 分 析 也 没有 SHA-1 多 。 它 接收 任意 长 输入 ,填充 方法 同 MD4, 以 512- 位 分 组 进行 处 
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理 , 对 5 个 32- 位 链接 变量 操作 ,最 后 连接 产生 160 位 的 Hash fA. JE aR PRL A 5 轮 可 并 
行 的 操作 ,每 轮 16 步 。 它 在 选择 参数 上 做 得 更 好 ,而 且 两 个 运行 实例 中 消息 块 的 使 用 顺 
序 完 全 不 同 ` 布 尔 函 数 的 使 用 顺序 也 是 相反 的 。 对 寄存 器 A 的 操作 同 MD5 ,对 寄存 器 C 
的 环 移 操 作 增 强 了 最 高 位 的 雪崩 效应 。 在 不 同 的 轮 中 对 消息 字 的 使 用 并 不 仅仅 是 顺序 不 
同 , 而 是 前 面 消息 字 之 和 。 

与 RIPEMD-160 相 比 ,RIPEMD-128 有 4 轮 , 操 作 中 用 到 4 个 32- 位 的 链接 变量 ,最 
后 连接 产生 128 位 的 Hash 值 , 没 有 对 寄存 器 C 的 环 移 操 作 。 

RIPEMD-256 和 RIPEMD-320 分 别 是 RIPEMD-128 和 RIPEMD-160 的 扩展 版 本 。 
运行 两 个 具有 不 同 初始 值 的 RIPEMD-128 和 RIPEMD-160 实例 ,在 每 一 轮 执行 后 交换 相 
应 的 一 个 链接 变量 ,最 后 连接 所 有 的 链接 变量 就 得 到 相应 的 双 倍 长 度 的 Hash 值 。 需 要 
说 明 的 是 : 它们 只 是 减少 了 意外 碰撞 (accidental collision) 的 概率 ,其 安全 性 并 不 比 
RIPEMD-128 和 RIPEMD-160 强 。 


C.2 HAVAL 算法 


HAVAL 是 Yuliang Zheng、Josef Pieprzvk 和 Jennifer Seberry 于 1992 年 提出 的 一 
个 MDS 的 改进 版 本 , 它 是 一 种 Hash 值 长 度 可 变 的 单 向 Hash 算法 。 它 以 1024 位 为 分 组 
处 理 消 息 , 有 8 个 32- 位 的 链接 变量 ,可 以 有 3、4、5 轮 ( 每 轮 有 16 步 操 作 ), 能 产生 长 度 为 
128、160、192、224、256 位 的 Hash 值 。 可 变 的 轮 数 和 可 变 的 输出 长 度 意味 着 该 算法 有 
3X5=15 种 不 同 的 形式 。 
HAVAL 采用 高 非 线 性 的 7- 变 量 函 数 取 代 了 MDS 的 简单 非 线 性 函数 , 且 每 一 轮 郴 
数 均 能 满足 严格 雪 骨 准则 。 每 轮 使 用 单个 函数 ,但 在 每 一 步 对 输入 进行 不 同 的 置换 。 
该 算法 有 一 个 新 的 消息 次 序 , 且 每 一 步 ( 第 一 轮 除 外 ) 使 用 不 同 的 加 法 常数 。 算 法 的 核 
心 是 : 
TEMP = ({fG,A,B,C,D,E,F,G) <<< 7) + (H <<< 11)+M([iJ[rG)J+KQq@); 
H G;G F; F E; E D; 
D = C; C = B; B= A; 
A = TEMP 
在 2003 年 亚洲 密码 学 会 议 上 .B. Van Rompay, A. Biryukov, B. Preneel 和 J. 
Vandewalle 以 2” 的 复杂 度 找 到 了 3 轮 HAVAL 的 一 个 冲突 。2004 年 亚洲 密码 学 会 议 
上 冯 登 国 等 人 又 以 277 的 复杂 度 找 到 了 HAVAL-128 的 冲突 。 


C.3 SHA 算法 


基于 MD4 和 MDS 的 设计 原则 ,1993 年 美国 标准 技术 研究 院 (NIST) 和 国家 安全 局 
(NSA) 共 同 设 计 了 SHA-0(Secure Hash Algorithm)。1995 年 .因为 发 现 了 一 个 未 能 公 
布 的 技术 弱点 :NSA 对 SHA 做 了 改进 ,这 就 是 SHA-1。 随 着 安全 性 需求 的 增强 ,在 此 基 
础 上 又 出 现 了 Hash 值 更 长 的 SHA-224、SHA-256、SHA-384 和 SHA-512, 它 们 被 统称 为 
SHA-2。 
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1. SHA-0 


(1) 算法 描述 
SHA-0(FIPS-180,Federal Information Processing Standard ,联邦 信息 处 理 标 准 ) 接 
收 任意 长 度 小 于 2 位 的 输入 ,分 组 长 度 为 512 位 ,填充 采用 增强 MD 方法 ; 每 一 分 组 划 
分 为 16 个 32- 位 消息 字 ,通过 扩展 算法 变 成 供 各 步 操作 使 用 的 80 个 消息 字 ; 算法 用 到 5 
个 32- 位 链接 变量 ,压缩 处 理 后 将 它们 级 联 形成 一 个 160- 位 的 Hash 值 。 
对 消息 分 组 的 扩展 操作 如 下 : 把 消息 分 组 从 16 个 消息 字 (M0 一 Ml5) 扩 展 到 80 个 消 
息 字 (Wo 一 W79) : 
Wt 二 Mt,; 对 t 二 0 至 15 
Wt = Mt—3@@Mt—8@Mt—14@ Mt—16, 对 +t 16 至 79 
压缩 函数 的 处 理 分 为 4 轮 , 每 轮 进行 20 步 操作 ,各 步 的 操作 如 下 : 
Fort=0 至 79 
{ 


TEMP = (a 一 一 一 5) + ®(b,c.d) + e+ Wt + Kt; 
e=d; 

d=c; 

c = b 一 一 一 30; 

b=a; 

a= TEMP 


\ 
了 


其 中 ,函数 有 4 个 ,依次 用 在 第 1~~4 轮 中 : 


F(X,Y,2) = (XAY) V (CX) AZ) 
G(X,Y,2) = XBY@z 

H(X,Y,2) = (XAY V (XAZ)V (YAZ) 
I(X,Y,2) = XPYOZ 


每 轮 中 都 使 用 不 同 常数 K, 二 2”Xm#i/4, 其 中 ,m 依次 取 2、3、5、10。 

(2) 安全 性 

1995 年 NIST 和 NSA 就 发 现 了 SHA-0 的 一 个 安全 性 弱点 ,但 是 一 直 没 有 透露 。 

1998 年 亚洲 密码 学 会 议 上 ,Florent Chabaud 和 Antoine Joux 使 用 与 分 组 密码 的 差 
分 分 析 相 关 的 方法 ,以 222 的 复杂 度 找到 了 SHA-0 的 冲突 。 

2004 年 亚洲 密码 学 会 议 上 ,Eli Biham 和 Rafi Chen 找到 了 SHA-0 的 一 个 近似 冲突 ， 
其 中 两 个 消息 的 160- 位 Hash 值 中 .有 142 位 是 相同 的 ,同时 提出 了 通过 近似 冲突 找到 完 
全 冲突 的 技术 ,以 2” 的 复杂 度 找 到 了 65 轮 的 SHA-0 的 多 个 完全 冲突 ; Joux, Carribault, 
Lemuet 和 Jalby 使 用 Chabaud 和 Joux 的 攻击 技术 ,在 2” 的 复杂 度 下 找到 了 SHA-0 的 
一 个 完全 冲突 ; 冯 登 国 等 人 声称 用 他 们 的 技术 可 以 在 2“ 的 复杂 度 下 找到 SHA-0 的 冲 
R ,但 是 没有 提供 实例 。 

2005 年 2 月 13 日 ,王小云 等 以 2” 的 复杂 度 找到 了 一 个 SHA-0 的 冲突 。 
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2. SHA-1 


SHA-1(FIPS-180-1) 作 为 MD5 的 继承 算法 ,广泛 应 用 于 各 种 安全 协议 ,例如 TLS, 
SSL、PGP、SSH、S/MIME 和 IPSec. TAH NSA 设计 ,是 美国 国家 标准 。 
(1) 算法 描述 
SHA-1 与 SHA-0 的 唯一 区 别 在 于 : 文件 的 预 处 理 阶段 有 一 个 附加 的 操作 , 即 消息 
分 组 的 扩展 中 增加 了 移 位 操作 ,以 消除 前 20 轮 的 某 些 数学 操作 中 存在 的 不 可 预知 的 安全 
隐患 ,具体 如 下 : 
Wt 三 Mt 对 t 三 0 至 15 
Wt (Mt 一 3 由 Mt 一 8 由 Mt 一 14 中 Mt 一 16) <<< 1,Xf t = 16 Æ 49 
SHA-1 的 一 次 运算 如 图 C-1 所 示 。 


(2) 安全 性 

2005 年 初 ,Rijmen 和 Oswald 以 低 于 2” 的 复杂 度 找 到 了 53 轮 SHA-1 的 一 个 冲突 。 
2005 年 2 月 ,王小云 与 于 红 波 . 尹 依 群 对 58 轮 的 SHA-1, 在 2” 的 复杂 度 下 找到 实际 的 冲 
突 ; 同时 ,首次 提出 能 以 低 于 2” 的 复杂 度 (2”) 找 到 SHA-1 的 冲突 。 研 究 者 声称 ,他 们 的 
分 析 基 于 攻击 SHA-0 使 用 的 基本 的 差分 分 析 技 术 、 近 似 冲 突 技术 ,以 及 多 块 冲突 技 术 、 消 
息 修改 技术 。 主 要 利用 了 以 下 两 个 弱点 : 文件 的 预 处 理 不 够 复杂 ; @@ 某 些 数 学 操作 在 
前 20 轮 中 存在 未 预料 到 的 安全 问题 。 

2005 年 8 月 的 国际 密码 学 会 议 上 ,公布 了 王小云 .Andrew Yao 和 FranceYao 的 最 新 
RR ,他 们 以 2 的 复杂 度 找 到 SHA-1 的 冲突 。 这 样 的 复杂 度 已 经 可 以 通过 大 量 分 布 的 
Internet 搜索 实现 了 ,而且 随 着 攻击 技术 的 进一步 发 展 , 这 个 复杂 度 还 可 能 降低 ,因此 ， 
SHA-1 也 应 该 被 淘汰 了 。 


3. SHA-2 


随 着 对 Hash 值 长 度 要 求 的 提高 .2001 年 又 出 现 了 SHA-256、SHA-384 和 SHA- 
512 ,分别 产 生长 度 为 256、384 和 512 位 的 Hash 值 ,它们 被 统称 为 SHA-2。2002 年 , 它 
们 和 SHA-1 一 起 成 为 官方 标准 FIPS PUB 180-2, 2004 Æ 2 月 ,SHA-224 又 加 入 了 这 个 
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标准 。 

其 中 ,SHA-384 和 SHA-512 的 输入 长 度 不 超过 2” 位 ,分 组 长 度 为 1024 位 ; SHA-224 
和 SHA-256 的 输入 长 度 不 超过 264 位 ,分 组 长 度 为 512 位 。 

SHA-256 与 SHA-1 在 结构 上 很 相似 ,但 是 它 用 到 8 个 32- 位 的 链接 变量 ,共有 64 步 
操作 ,扩展 算法 和 压缩 函数 都 与 SHA-1 不 同 ; SHA-224 基于 SHA-256, 有 不 同 的 初始 
值 ,结果 取 前 224 位 。 

SHA-512 有 与 SHA-256 相似 的 扩展 算法 和 压缩 算法 ,用 到 8 个 64- 位 的 链接 变量 ， 
分 组 长 度 为 1024 位 , 共 80 步 操作 ; SHA-384 基于 SHA-512, 但 是 有 不 同 的 初始 值 , 而 且 
结果 取 前 384 位 。 

2003 年 ,Gilbert 和 Handschuh 研究 了 它们 的 安全 性 ,没有 发 现任 何 弱 点 。2005 年 
以 来 ,对 它们 的 分 析 工 作 已 经 展开 ,但 到 目前 为 止 , 仍 没有 找到 对 这 些 Hash 算法 的 有 效 
攻击 ,它们 靠 着 足够 长 的 Hash 值 ,将 在 今后 几 年 中 作为 SHA-1 的 替代 方案 ,直到 新 的 标 
准 出 现 。 


C.4 Whirlpool 算法 


2000 年 ,Vincent Rijmen 和 Paulo S. L. M. Barreto 设计 了 Whirlpool(M51) 算 法 , 它 
是 目前 NESSIE(New European Schemes for Signature Integrity and Encryption) 叭 一 推 
荐 使 用 的 Hash 算法 ,同时 它 也 被 国际 标准 组 织 ISO (International Organization for 
Standardization) 和 国际 电子 技术 协会 IEC (International Electrotechnical Commission) 
采用 作为 ISO/IEC 10118-3 国际 标准 。 

Whirlpool 是 在 分 组 密码 Square 的 基础 上 设计 的 .算法 的 输入 长 度 不 超过 2” 位 , 产 
生 512 位 的 Hash 值 。 

最 初 的 版 本 中 ,S- 盒 是 随机 生产 的 ,具有 良好 的 密码 学 特性 。2001 年 的 版 本 中 ,对 它 
进行 了 改进 ,使 其 密码 学 特性 更 好 ,而且 更 方便 硬件 实现 ; 2003 年 的 版 本 中 ,进一步 修改 
了 扩散 阵列 (diffusion matrix). 

消息 分 组 的 长 度 为 512 位 ,填充 同 MD5 ,其 中 ,长 度 消息 占 最 后 256 位 ,链接 变量 的 
初始 值 ho 置 为 全 0, 用 到 专门 的 压缩 函数 W ,使 用 Miyaguchi-Preneel 方法 构建 压缩 郴 
数 : hi= Whi-lmi®miGhi-l(1<i<t). hi 就 是 压缩 函数 的 输出 。W 类 似 于 Rijndael, 与 
之 相 比 有 以 下 不 同 之 处 : 分 组 长 度 固定 、 轮 数 固定 、 密 钥 扩 展 用 的 是 轮 函 数 . 用 到 的 归 约 
多 项 式 稍 有 不 同 ; S- 盒 不 同 ; 轮 常量 不 同 ; 扩散 层 不 同 。 

设计 者 声称 此 Hash 算法 能 抗 线性 分 析 和 差分 分 析 ,而 且 取 512 位 Hash 值 中 的 任意 
位 数 都 能 保证 达到 相应 的 单 向 性 和 抗 冲突 性 。 


C.5 Tiger 算法 


1996 年 ,Ross Anderson 和 Eli Biham 提出 了 一 个 能 在 64- 位 平台 上 有 效 运行 的 
Tiger 算法 , 它 产生 192 位 的 Hash 值 。 分 组 长 度 为 512 位 ,填充 同 MD5, 其 中 长 度 消息 
占 最 后 的 64 位 ,有 4 个 64- 位 链接 变量 。 算 法 的 核心 是 三 轮 操作 和 各 轮 之 间 的 密 钥 表 , 每 
轮 有 8 步 , 涉 及 的 操作 除了 64- 位 的 加 法 ,减法 和 逻辑 运算 外 ,还 有 64- 位 乘法 运算 和 查 S- 
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盒 的 操作 (将 8 位 的 输入 映射 为 64 位 的 输出 ) ,与 其 他 算法 相 比 ,产生 了 更 好 的 雪崩 效应 ， 
而 且 消 息 中 一 个 位 的 改变 会 影响 很 多 位 ,这 样 能 抵抗 所 有 的 差分 分 析 ( 差 分 分 析 基 于 如 下 
事实 : 改变 消息 字 中 一 些 特定 位 在 许多 轮 中 最 多 只 影响 链接 变量 的 几 个 位 ,而 且 这 些小 
的 差分 能 在 随后 的 轮 操 作 中 得 到 纠正 ) 。 

为 了 能 与 其 他 常用 Hash 算法 兼容 ,也 有 Tiger-160 和 Tiger-128, 它 们 在 Tiger-192 
算法 的 基础 上 ,分 别 取 前 160 位 和 128 位 作为 最 后 的 Hash 值 。 

因为 现 有 攻击 都 用 到 差分 分 析 , 所 以 ,Tiger 目前 还 是 安全 的 。 


C.6 MDC-2 和 MDC-4 算法 


MDC-2( modification detection code 2) 和 MDC-4 (modification detection code 4) 算 
法 首先 由 IBM 开发 ,它们 都 是 基于 分 组 密码 的 双 倍 长 度 Hash 算法 。MDC-2, 有 时 称 为 
Meyer-Schilling ,已 考虑 作为 ANSI All ISO 标准 。MDC-4 是 为 RIPE 项 目 研制 的 ,尽管 理 
论 上 可 以 使 用 任何 加 密 算法 ,但 MDC-4 还 是 用 DES 作为 分 组 函数 。 

MDC-2 的 散 列 率 为 1/2, 产 生 的 Hash 值 的 长 度 为 分 组 长 度 的 两 倍 , 如 图 C-2 所 示 。 
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MDC-4 产生 的 Hash 值 的 长 度 也 是 分 组 长 度 的 两 倍 , 其 散 列 率 为 1/4, 如 图 C-3 
所 示 。 
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Knudsen 和 Preneel 攻破 了 MDC-4.MDC-2 虽然 还 是 没有 被 攻破 ,但 执行 效率 很 低 。 
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D = X.509 简介 


X. 509 是 一 种 行业 标准 。 目 前 X. 509 有 不 同 版 本 .X. 509v2 和 x. 509v3 是 比较 新 的 
版 本 ,都 是 在 原 有 版 本 (X. 509v1) 的 基础 上 进行 功能 的 扩充 ,其 中 每 一 版 本 都 包含 下 列 
信息 : 

(1) 版 本 号 : 用 来 区 分 X. 509 的 不 同 版 本 号 。 

(2) 序列 号 : 由 CA 给 予 每 一 个 证 书 分 配 唯 一 的 数字 型 编号 。 当 证 书 取 消 时 ,实际 上 
是 将 此 证 书 的 序列 号 放 入 由 CA 签发 的 CRL 中 ,这 也 是 序列 号 唯一 的 原因 。 

(3) 签名 算法 标识 符 : 用 来 指定 用 CA 签发 证 书 时 所 使 用 的 签名 算法 。 算 法 标识 符 
用 来 指定 CA 签发 证 书 时 所 使 用 的 公开 密 钥 算法 和 Hash 算法 , 需 向 国际 指明 标准 组 织 
(如 ISO) 注册。 

(4) 认证 机 构 : 即 发 出 该 证 书 的 机 构 唯 一 的 CA 的 x. 500 名 字 。 

(5) 有 效 期 限 : 证 书 有 效 的 时 间 包 括 两 个 日 期 : 证 书 开始 生效 期 和 证 书 失 效 的 日 期 
和 时 间 。 在 所 指定 的 这 两 个 时 间 之 间 有 效 。 

(6) 主题 信息 : 证 书 持 有 人 的 姓名 、 服 务 处 所 等 信息 。 

(7) 认证 机 构 的 数字 签名 : 以 确保 这 个 证 书 在 发 放 之 后 没有 被 算 改 过 。 

(8) 公 钥 信息 : 包括 被 证 明 有 效 的 公 钥 值 和 加 上 使 用 这 个 公 钥 的 方法 名 称 。 


D.1 X.509 证 书 结构 简介 及 实例 


1. ASN1 简介 


ASN1 (abstract syntax notation one) ,抽象 语法 符号 1 是 用 来 描述 数据 结构 及 其 编 
码 的 规则 集 , 它 广泛 用 于 RFCCrequest for comments) 文 本 中 数据 结构 的 描述 。X. 509 证 
书 结构 (RFC 2459) 就 是 采用 ASN1 描述 和 编码 的 。 因 此 首先 对 ASN1 的 编码 规则 做 一 
简单 介绍 。 

在 ASN1 编码 中 ,数据 类 型 包括 简单 类 型 和 结构 类 型 。 简 单 类 型 是 不 能 再 分 解 类 
型 ,如 整 型 (integer) , LEAF (bit string)、 字 节 串 (Coctet string) 对 象 标示 符 (Cobject identi 
fier)\ 日 期 型 (UTC time) 等 。 结 构 类 型 是 由 简单 类 型 和 结构 类 型 组 合 而 成 的 ,如 顺序 类 
AI (sequence, sequenceof) 、 选 择 类 型 (choice) 集合 类 型 (set) 等 。 顺 序 类 型 的 值 由 按 给 定 
顺序 成 员 数 据 值 组 成 ; 选择 类 型 的 值 由 多 个 成 员 数 据 类 型 中 的 某 一 个 值 构成 ; 集合 数据 
类 型 由 成 员 数 据 类 型 的 一 个 或 多 个 值 构成 。 每 一 种 类 型 都 有 一 个 整数 标记 (TAG) 来 标 
识 该 类 型 。 

不 论 是 简单 类 型 还 是 结构 类 型 的 值 其 编码 都 是 由 4 部 分 构成 : 类 型 标识 字段 ,用 来 
标识 该 值 的 类 型 ; 长 度 字段 ,用 来 标识 该 值 所 占 的 字 节 数 ; 值 字段 ; 结束 标示 字段 。 

在 类 型 标识 字段 中 ,使 用 类 型 的 TAG 来 标识 该 类 型 ,在 证 书 中 使 用 一 个 字 节 来 表 
示 。bit8-bit7 用 来 标示 TAG 类 型 ,bit6 标示 是 否 为 结构 类 型 (1 位 结构 类 型 ) ,bit5-bitl 
是 类 型 的 TAG 值 。 如 Sequence 类 型 ,其 TAG 类 型 位 Universal(00), 属 于 结构 类 型 (1); 
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TAG 值 为 16(10000) ,所 以 其 类 型 标示 字段 值 为 (00110000), 即 为 0x30。 

长 度 字 段 有 两 种 编码 格式 。 若 长 度 值 小 于 等 于 127. 则 用 一 个 字 节 表示 ,bit8 一 0， 
bit7-bitl 存放 长 度 值 ; 若 长 度 值 大 于 127, 则 用 多 个 字 节 表示 ,第 一 个 字 节 存 放 长 度 字段 
所 占 的 字 节 数 ( 二 = 二 127) ,并 且 bit8 一 1, 其 余 字 节 存放 长 度 值 。 如 果 长 度 值 不 定 , 用 一 个 
字 节 (0x80) 表 示 。 

值 字 段 , 存 放 数 据 值 ,具体 编码 随 值 的 数据 类 型 不 同 而 不 同 。 

结束 标示 字段 ,两 个 字 节 (0x0000), 只 有 在 长 度 值 为 不 定时 才 会 出 现 。 


2. X.509 证 书 结构 


Certificate::= SEQUENCE! 

tbsCertificateTBSCertificate, 一 一 证 书 主体 
signatureAlgorithmAlgorithmIdentifier, 一 一 证 书签 名 算法 标识 
signatureValueBITSTRING 一 一 证 书签 名 算法 值 

} 


TBSCertif icate: := SEQUENCE{ 


version[ 0 JEXPLICITVersionDEFAULTv1 , 一 一 证 书 版 本 号 

serialNumberCertificateSerialNumber, 一 一 证 书 序列 号 ,对 同一 CR 所 颁发 的 证 书 , 序 列 号 唯一 标 
识 证 书 

signatureAlgorithmIdentifier, 一 一 证 书签 名 算法 标识 


issuerName, 一 一 证 书 发 行者 名 称 
validityValidity, 一 一 证 书 有 效 期 
subjectName, 一 一 证 书 主体 名 称 


subjectPublicKeyInfoSubjectPublicKeyInfo, —— iE 52. 

issuerUniqueID[ 1 ]IMPLICITUniqueIdent if ierOPTIONAL, 一 一 证 书 发 行者 ID( 可 选 ), 只 在 证 书 版 本 
2.3 中 才 有 

subjectUniqueID[ 2 ] IMPLICITUniqueIdent if ierOPTIONAL, —— iF 3 4 {AK ID( 可 选 ), 只 在 证 书 版 本 
2.3 PAA 


extensions[3]EXPLICITExtensionsOPTIONRAL 一 一 证 书 扩 展 段 (可 选 ) ,只 在 证 书 版 本 2.3 PAA 
} 


Version: := INTEGER{v1(0),.v2(1).wv3(2)} 
CertificateSerialNumber: := INTEGER 


Validity: := SEQUENCE { 
notBeforeT ime, 一 一 证 书 有 效 期 起 始 时间 
notAfterTime) 一 一 证 书 有 效 期 终止 时 间 


Time: := CHOICE( 
utcTimeUTCTime, 
generalTimeGeneralizedTime} 


UniqueIdentifier::= BITSTRING 


SubjectPublicKeyInfo: := SEQUENCE( 
algorithmAlgorithmIdentifier,— ff Bik 


附 录 203 


subjectPublicKeyBITSTRING} ——7 4H] fÉ 
Extensions: := SEQUENCESIZE(1..MAX)OFExtension 


Extension: := SEQUENCE{ 
extnIDOBJECTIDENTIFIER, 
critical BOOLEANDEFAULTFALSE, 
extnValueOCTETSTRING} 


3. 证 书 实例 


本 部 分 包含 一 个 699 字 节 的 证 书 实例 。 证 书 版 本 号 为 3。 该 证 书包 含 以 下 内 容 : 
(1) 证 书 序 列 号 是 17(0x11)。 

(2) WEBE DSA 和 SHA-1 哈 希 算法 签名 。 

(3) 证 书 发 行者 的 名 字 是 OU= nist; O= gov; C=US. 

(4) 证 书 主 体 的 名 字 是 OU= nists O= gov; C= US. 

(5) 证 书 的 有 效 期 从 1997-6-30 到 1997-12-31, 

(6) 证 书包 含 一 个 1024bit DSA 公 钥 及 其 参数 。 

(7) 证 书包 含 一 个 主体 键 标识 扩展 项 。 

(8) 证 书 是 一 个 CA 证 书 (通过 一 个 基本 扩展 项 标识 ) 。 


D.2 X.509 的 扩展 (v3) 


X. 509 标准 第 三 版 在 v2 的 基础 上 进行 了 扩展 ,v3 引进 一 种 机 制 。 这 种 机 制 允 许 通 
过 标准 化 和 类 的 方式 将 证 书 进行 扩展 包括 额外 的 信息 ,从 而 适应 下 面 的 一 些 要 求 . 

a) 一 个 证 书 主体 可 以 有 多 个 证 书 。 

(2) 证 书 主体 可 以 被 多 个 组 织 或 社团 的 其 他 用 户 识别 。 

(3) 可 按 特定 的 应 用 名 (不 是 X. 500 名 ) 识 别 用 户 ,如 将 公 钥 同 e-mail 地 址 联系 起 来 。 

(4) 在 不 同 证 书 政策 和 实用 下 会 发 放 不 同 的 证 书 , 这 就 要 求 公 钥 用 户 要 信赖 证 书 。 

证 书 并 不 限于 这 些 标准 扩展 ,任何 人 都 可 以 向 适当 的 权利 机 构 注 册 一 种 扩展 。 将 来 
会 有 更 多 的 适 于 应 用 的 扩展 列 人 标准 扩展 集中 。 值 得 注意 的 是 : 这 种 扩展 机 制 应 该 是 完 
全 可 以 继承 的 。 

每 一 种 扩展 包括 3 个 域 : 类 型 .可否 默认 、 扩 展 值 。 

(1) 类 型 字段 定义 了 扩展 值 字段 中 的 数据 类 型 。 这 个 类 型 可 以 是 简单 的 字符 串 , 数 
值 , 日 期 ,图 片 或 一 个 复杂 的 数据 类 型 。 为 便于 交互 ,所 有 的 数据 类 型 都 应 该 在 国际 知名 
组 织 进行 注册 。 

C2) 可 否 默 认 字 有 段 是 一 比特 标识 位 。 当 一 扩展 标识 为 不 可 默认 时 ,说 明 相应 的 扩展 
值 非常 重要 ,应 用 程序 不 能 忽略 这 个 信息 。 如 果 使 用 一 特殊 证 书 的 应 用 程序 不 能 处 理 该 
字段 的 内 容 , 就 应 该 拒绝 此 证 书 。 

(3) 扩展 值 字段 包含 这 个 扩展 实际 的 数据 。 

公开 密 钥 证 书 的 标准 扩展 可 以 分 为 以 下 几 组 : 
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(1) 密 钥 和 政策 信息 : 包括 机 构 密 钥 识别 符 ,主体 密 钥 识别 符 , 密 钥 用 途 ( 如 数字 签字 ， 
不 可 否认 性 、 密 钥 加 密 、 数 据 加 密 、 密 钥 协商 .证 书签 字 .CRL 签字 等 ) , 密 钥 使 用 期 限 等 。 

(2) 主体 和 发 证 人 属性 : 包括 主体 代用 名 .发 证 者 代用 名 ,主体 检索 属性 等 。 

(3) 证 书 通路 约束 : 包括 基本 约束 ,指明 是 否 可 以 做 证 书 机 构 。 
D.3 CRL 和 CRL 扩展 简介 


CRL(certificate revocation list) 


证 书 废弃 列表 , 它 是 盖 了 时 间 印 章 又 经 过 CA 
签名 ,自由 发 布 长 期 有 效 并 能 识别 出 被 撤销 证 书 的 清单 。 下 面 对 CRL 的 介绍 都 来 源 于 文 
PY RFC 2459 ,在 此 只 列 出 部 分 内 容 , 具 体 可 参考 该 文档 所 述 。 

CRLs 可 以 用 在 覆盖 宽广 范围 的 可 由 双方 共同 操作 目标 ,甚至 用 在 更 宽广 范围 的 应 
用 和 环境 中 的 操作 上 ,并 能 保证 需求 。 在 该 简介 中 为 适应 范围 宽广 可 由 双方 共同 操作 的 
应 用 建立 一 条 共用 基线 。 为 基线 定义 一 套 能 在 每 一 个 CRL 中 被 预期 的 信息 。 同 时 ,也 定 
义 这 些 属性 (共用 代表 经 常用 到 的 属性 ) 在 CRL 以 内 的 通用 位 置 。 

根据 附加 或 者 特殊 目的 需求 ,环境 可 以 建立 在 该 简介 基础 上 或 者 可 以 取代 它 。 如 果 
其 他 撤销 或 者 提供 证 书 状况 算法 ,遵照 CAs, 不 需要 发 行 CRLs。 发 行 CRLs 的 CAs 必须 
发 行 第 2 版 CRLs,CAs 必须 在 nextUpdate 字段 中 包含 日 期 (下 一 个 CRL 发 出 的 日 期 )， 
CRL 号 扩展 和 权威 密 钥 标识 扩展 。 按 照应 用 的 需要 ,处 理 第 1 版 和 第 2 版 CRLs。 


1. CRL 字段 


X. 509v2 CRL 句法 如 下 。 为 签名 计算 ,要 签名 的 数据 是 ASN. 1 DER 编码 。ASN.1 
DER 编码 是 标签 长度 、 对 应 每 一 元 素 值 的 编码 系统 。 


CertificateList ::= SEQUENCE { 
tbsCertList TBSCertList, 
signatureAlgorithm AlgorithmIdentifier, 
signatureValue BIT STRING } 
TBSCertList ::= SEQUENCE { 
version Version OPTIONAL. 
—— if present, shall be v2 
signature AlgorithmIdentifier, 
issuer Name, 
thisUpdate Time. 
nextUpdate Time OPTIONAL, 
revokedCertificates SEQUENCE OF SEQUENCE { 
userCertificate CertificateSerialNumber. 
revocationDate Time, 
crlEntryExtensions Extensions OPTIONAL 
—— if present, shall be v2 
} OPTIONAL. 
crlExtensions [0] EXPLICIT Extensions OPTIONAL 


—- if present, shall be v2 
} 
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(1) CertificateList 字段 

CertificateList 是 一 连 串 (sequence) 的 3 个 需求 字段 (three required fields). FRE 
下 边 详细 描述 。 

O tbsCertList。 在 序列 中 第 一 字段 是 tbsCertList。 这 个 字段 表示 序列 自身 ,含有 发 
行者 的 名 字 发 行 日 期 ,下 一 个 清单 CCRL) 的 发 行 日 期 ,撤销 证 书 列表 和 可 选 CRL 扩展 。 
进一步 ,在 撤销 证 书 清单 上 每 个 人 口 是 由 一 串 用 户 证 书 确 定 序号 ,撤销 日 期 和 可 选 CRL 
入 口 扩 展 。 

© signature algorithm 字段 。signature algorithm 字段 为 含有 算法 标识 符 , 经 过 CA 
在 CertificateList 上 签名 使 用 的 算法 。 

@® signature value 字段 。signature value 字段 在 ASN.1 DER 编码 tbsCertList 上 含 
有 一 个 数字 签名 。 使 用 ASN. 1 DER 编码 tbsCertList 作为 签名 函数 的 输入 。 

(2) 证 书 列表 “To Be Signed” 

签名 的 证 书 清单 或 者 TBSCertList 是 一 串 必 须 和 可 选 的 字段 。 必 须 字 段 标识 CRL 
发 行者 .用 在 CRL 上 签名 的 算法 、CRL 发 出 的 日 期 和 时 间 以 及 在 CA 将 发 行 下 一 个 CRL 
的 日 期 和 时 间 。 

可 选 字 段 包 含 撤销 证 书 和 CRL 扩展 的 清单 。 

D 版 本 。 这 个 可 选 字段 描述 编码 CRL 的 版 本 。 

O 签名 。 这 个 字段 含有 用 在 CRL 上 签名 算法 的 算法 标识 符 。 

O 发 行者 名 字 。 发 行者 名 字 标 识 已 经 在 CRL 上 签名 和 发 行 的 实体 。 在 发 行者 名 字 
字段 中 带 有 发 行者 实体 。 可 替换 名 字 格 式 也 可 以 出 现在 Issuer Alt Name 扩展 中 。 

@ 更 新 。 这 个 字段 指示 CRL 的 发 布 日 期 。ThisUpdate 可 以 作为 UTCTime 或 者 
GeneralizedTime 被 编码 。 

@ 下 次 更 新 。 该 字段 指示 下 一 个 CRL 发 出 的 日 期 。 

© 撤销 证 书 。 列举 撤 销 证 书 。 通 过 他 们 的 序号 给 撤销 证 书 命名 。 通 过 证 书 序列 号 
唯一 标识 被 撤销 的 证 书 。 指 定 撤销 发 生 的 日 期 。Revocation date 时 间 必 须 是 如 同 在 该 小 
节 的 部 分 @@ 中 描述 的 那样 表示 。 

@ 扩展 。 这 个 字段 仅 出 现在 版 本 2( 或 者 更 高 版 本 中 )。 如 果 存 在 ,这 个 字段 是 一 串 
(Sequence) 的 一 或 更 多 CRL 扩展 。CRL 扩展 在 下 面 讨论 。 


2. CRL 扩展 


由 ANSI X9 和 ISO/IEC/ITU W X. 509v2 CRLs X. 509 定义 扩展 。X9. 55 提供 把 附 
加 属性 和 CRLs 联系 起 来 的 方法 。X. 509v2 CRL 格式 也 人 允许 社区 定义 私有 范围 携带 那 
些 社区 所 特有 信息 的 扩展 。 在 CRL 中 每 一 个 扩展 可 以 是 关键 或 者 非 关 键 的 。 如 果 它 遇 
到 一 种 它 不 知道 如 何 处 理 的 关键 扩展 ,CRL 肯定 (MUST) 失 败 。 但 是 ,未 认 出 的 非 关 键 
扩展 可 以 忽视 。 以 下 部 分 提出 在 InternetCRLs 以 内 使 用 的 扩展 。 社 区 可 以 选择 在 本 文 
说 明 中 包含 在 CRLs 中 不 定义 的 扩展 。 但 是 ,可 以 在 一 般 背 景 方面 运用 的 CRLs 中 应 该 
谨慎 采用 任何 关键 扩展 。 

发 行 CRLs 的 CAS 确认 包含 权威 密 钥 标识 符 和 在 所 有 发 行 的 CRLs 中 的 CRL 数字 
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扩展 。 

(1) 权威 密 钥 标识 符 

权威 密 钥 标识 符 扩展 提供 一 种 识别 出 对 使 用 私有 密 钥 在 CRL 上 签名 相对 应 的 公开 
密 钥 的 手段 。 确 认 能 建立 在 任 一 个 基础 上 密 钥 标识 符 ( 在 CRL 签名 者 的 证 书 中 的 主题 密 
钥 标识 符 ) 或 者 有 关 发 行者 名 字 和 序号 。 一 个 发 行者 有 超过 一 个 由 于 多 重 同 时 发 生 的 密 
钥 对 或 者 由 于 密 钥 对 更 换 的 地 方 , 这 扩展 特别 有 用 。 

CAS 必须 使 用 密 钥 标识 符 方法 ,必须 在 所 有 发 行 的 CRLs 中 包含 这 个 扩展 。 

(2) 发 行者 可 替换 名 字 

发 行者 可 替换 名 字 扩 展 人 允许 额外 标识 和 CRL 的 发 行者 联系 起 来 。 定 义 可 选项 包含 
RFC 822 名 字 ( 电 子 邮件 地 址 ) ,DNS 名 字 ,IP 地 址 和 URI。 可 以 包含 名 字 和 多 重 名 字 格 
式 的 多 重 事例 。 每 当 使 用 这 样 的 标识 符 时 ,必须 使 用 发 行者 可 替换 名 字 扩 展 。Issuer Alt 
Name 扩展 不 应 该 标记 为 关键 。 

(3) CRL Number 

CRL Number 是 经 过 CA 发 出 的 非 关 键 CRL 扩展 ,其 为 每 一 个 CRL 表达 一 种 单调 
增加 的 序列 号 。 这 个 扩展 允许 用 户 容 易 决 定 什么 时 候 一 个 特定 CRL 取代 另 一 个 CRL, 
CAS 必须 在 所 有 CRLs 中 包含 该 扩展 。 

(4) Delta CRL 标识 符 

Delta CRL 标识 符 是 识别 出 一 个 delta-CRL 的 CRL 关键 扩展 。 使 用 delta-CRL 能 在 
相当 大 程度 上 为 应 用 (程序 ) 提 高 在 CRL 结构 之 外 储藏 撤销 信息 格式 的 处 理 时 间 。 这 就 
允许 把 改变 加 入 本 地 数据 库 , 同 时 忽视 未 改变 的 信息 (其 已 经 在 本 地 数据 库 中 )。 

当 发 出 一 个 delta-CRL 的 时 候 ,CAS 必须 同时 发 行 一 个 完整 的 CRL。BaseCRLNumber 
的 值 标识 的 CRL 号 是 在 产生 delta-CRL 时 的 起 始点 。 

(5) 发 行 发 布点 

发 行 发 布点 是 一 个 关键 CRL 扩展 ,为 一 个 特定 CRL 识别 出 CRL 发 布点 ,并 且 它 指 
示 CRL 是 否 仅 为 末端 实体 证 书 、 仅 为 CA 证 书 或 者 一 套 限 制 (limitied) 理 由 代码 覆盖 撤 
销 。 虽 然 扩 展 是 关键 ,并 不 保证 工具 是 支持 这 个 扩展 所 需要 的 。 


3. CRL 入 口 扩展 


已 经 由 ANSI X9 和 ISO/IEC/ITU 为 X. 509v2CRLs 定义 的 CRL 入 口 扩 展 提供 为 
附加 属性 和 CRL A A[X. 509]CX9. 55] 联 系 起 来 的 方法 。X. 509v2CRL 格式 也 允许 社区 
定义 私有 CRL 入 口 扩 展 携带 那些 社区 所 特有 信息 。 每 一 个 在 CRL 入 口中 的 扩展 可 以 是 
关键 或 者 非 关 键 的 。 如 果 遇 到 一 个 它 不 知道 如 何 处 理 的 关键 CRL 入 口 扩 展 ,CRL 批准 
肯定 失败 。 但 是 ,一 个 未 认 出 的 非 关 键 CRL 入 口 扩展 可 以 忽视 。 以 下 部 分 提出 在 
Internet CRL 入 口 和 标准 信息 的 位 置 以 内 使 用 推荐 的 扩展 。 社 区 可 以 选择 使 用 附加 
CRL 入 口 扩展 ,但 是 ,在 采用 任何 可 以 用 在 一 般 背 景 中 CRL 的 入 口中 的 关键 扩展 应 该 
HR. 

在 该 简介 中 使 用 的 所 有 CRL 入 口 扩展 都 是 非 关 键 的 。 支 持 这 些 扩 展 ,因为 对 CAs 
和 应 用 保证 是 可 选 的 。 但 是 ,每 当 这 些 信息 是 可 用 的 ,发 行 CRLs 的 CAs 应 该 (Should) 
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包含 理由 代码 和 无 效 日 期 。 

(1) 理由 代码 

Reasoncode 是 一 个 非 关 键 CRL 入 口 扩展 ,其 识别 证 书 撤 销 的 理由 。CAs 强烈 鼓励 
在 CRL 入 口中 包含 有 意义 的 理由 代码 。 

(2) 保持 指示 代码 

保持 指示 代码 是 一 个 非 关 键 CRL 入 口 扩展 ,其 提供 一 个 登记 指示 标识 符 , 其 指示 行 
动 要 在 遇 到 一 张 证 书 之 后 ,并 放 在 着 力 点 (hold) 上。 

(3) 无 效 日 期 

无 效 日 期 是 一 个 非 关 键 CRL 入 口 扩 展 , 其 定义 日 期 可 知道 或 者 怀疑 其 私有 密 钥 或 者 
证 书 被 泄露 , 除 此 之 外 是 无 效 的 。 

(4) 证 书 发 行者 

该 CRL 入 口 扩展 识别 出 与 一 个 间接 CRL 入 口 联 系 起 来 的 证 书 发 行者 (间接 CRL 是 
指 : 如 果 含 有 Indirect CRL ,被 指示 者 徐 入 它 的 发 行 发 布点 扩展 )。 如 果 这 个 扩展 在 一 间 
接 CRL 中 第 一 入 口 点 上 不 存在 ,证 书 发 行者 默认 CRL 发 行者 ; 在 一 间接 CRL 中 的 随后 
入 口 点 上 ,如 果 该 扩展 不 存在 ,对 入 口 的 证 书 发 行者 和 那个 前 面 入 口 一 样 。 


[18] 


[19] 


[20 
[21 


[22] 


参考 文献 


William Stallings. Cryptography and Network Security Principles and Practice. Prentice-Hall Inc. ， 
1999 
Karanjit S,Chirs H. Internet Firewall and Network Security. New Riders Publishing, 1990 
Steven Brown. Implementing Virtual Private Networks. New York: McGraw-Hill,1999 
Rebecca Gurley Bace. Intrusion Detection, U.S. A. : Macmillan Technical Publishing, 1999 
Martin Roesch, Snort lightweight intrusion detection for networks. In: The Proceedings of the 
13th Large Installation System Administration Conference, Seattle, Washington, USA, 1999 
Web ST and Network Security. DASCOM( Holdings) Ltd, 1997 
Marc Farley, Tom Stearns and Jeffrey Hsu. LAN Times Guide to Security and Data Integrity. 
Copyright 1996 by McGraw-Hill. Inc 
Ford. Computer Communications Security. PTR Prentice Hall, Englewood Cliffs, New Jersey,1994 
Ribenboim P. The New Book of Prime Number Records. New York; Springer-Verlag ,1996 
Adams C. Simple and Effective Key Scheduling for Symmetric Ciphers. Proceedings, Workshop in 
Selected Areas of Cryptography. SAC’94,1994 
Barker W. Introduction to the Analysis of the Data Encryption Standard (DES). Laguna Hills, 
CA; Aegean Park Press,1991 
Bellovin S and Merritt M. Limitations of the Kerberos Authentication System. Computer 
Communications Review-October 1990 
Bellovin S and Cheswick W. Network Firewalls. IEEE Communications Magazine, September 1994 
Bellare M, Canetti R and Krawczyk H. Keying Hash Functions for Message Authentication, 
Proceedings, CRYPTO’96, August 1996, New York: Springer-Verlag. An expanded version is 
available at http: //www. cse. ucsd. edu/user/mihir 
Berson T. Differential Cryptanalysis Mod 2% with Applications to MD5. Proceedings, 
EUROCRYPT’92,May 1992,New York: Springer-Verlag 
Beth T, Frisch M and Simmons G eds. Public-Key Cryptography: State of the Art and Future 
Directions. New York: Springer-Verlag-1991 
Biham E and Shamir A. Differential Cryptanalysis of the Data Encryption Standard. New York: 
Springer-Verlag. 1993 
Biham E and Shamir A. Power Analysis of the Key Scheduling of the AES Candidates, 
Proceedings, Second AES Candidate Conference, 24 October 2000. http: //esre. nist. gov/ 
encryption/aes/round1/conf2/aes2conf, htm 
Boer B and Bosselaers A. Collisions for the Compression Function of MD5. Proceedings. 
EUROCRYPT’93,.1993,New York: Springer-Verlag 
Chapman D and Zwicky E. Building Internet Firewalls. Sebastopol, CA; O'Reilly. 1995 
Cheng P,et al. A Security Archtecture for the Internet Protocol. IBM Systems Journal, Number 
1,1998 
Cheswick W and Bellovin S. Firewalls and Internet Security: Repelling the Wily Hacker. 
Reading, MA; Addison-Wesley, 2000 


参考 文献 209 


[47] 


Daemen J and Rijmen V. AES Proposal: Rijndael, Version 2. Submission to NIST, March 1999. 
http: //csre. nist. gov/encryption/aes 

Davies D and Price W. Security for Computer Networks. New York: Wiley.1989 

Denning D. Timestamps in Key Distribution Protocols. Communications of the ACM, 
August 1981 

Denning D. Cryptograhy and Data Security. Reading. MA: Addison Wesley.1982 

Diffie W and Hellman M. New Directions in Cryptography. Proceedings of the AFIPS National 
Computer Conference, June 1976 

Diffie W and Hellman M. Multiuser Cryptographic Techniques. IEEE Transactions on 
Information Theory, November 1976 

Diffie W and Hellman M. Privacy and Authentication; An Introduction to Cryptography. 
Proceedings of the IEEE,March 1979 

Drew G. Using SET for Secure Electronic Commerce. Upper Saddle River, NJ: Prentice 
Hall, 1999 

Doraswamy N and Harkins D,IPSec. Upper Saddle River,NJ: Prentice Hall,1999 

ElGamal T. A Public-Key Cryptosystem and a Sinature Scheme Based on Discrete Logarithms. 
IEEE Transactions on Information Theory,July 1985 

Enger N and Howerton P. Computer Security. New York: Amacom,1980 

Feistel H,Notz W and Smith J. Some Cryptographic Techniques For Machine-To-Machine Data 
Communications. Proceedings of the IEEE,November 1975 

Ford W. Advances in Public-Key Certificate Standards. ACM SIGSAC Review.July 1995 
Frankel S. Demystifying the IPSec Puzzle. Boston: Artech House,2001 

Fumy S and Landrock P. Principles of Key Management. IEEE Journal on Selected Areas in 
Communications, June 1993 

Gardner M. Codes.Ciphers and Secret Writing. New York: Dover,.1972 

Garfinkel S and Spafford G, Web Security & Commerce. Cambridge. MA; O'Reilly and 
Associates, 1997 

Gollmann D. Computer Security. New York: Wiley.1999 

Gong L. A Security Risk of Depending on Synchronized Clocks. Operating Systems Review, 
January 1992 

Abadi M,. Tuttle M R. A Semantics For A Logic Of Authentication. In: Proceedings of the 10th 
ACM Symposium on Principles of Distributed Computing. ACM Press.1991,201~216 

Asokan N, Shoup V, Waidner M. Asynchronous protocols for optimistic fair exchange. In: 
Proceedings of the 1998 IEEE Symposium on Security and Privacy. Los Alamitos: IEEE 
Computer Society Press.1998.86~89 

Bellare M.et al. ikP-A Family of Secure Electronic Payment Protocols. IBM Research Division, 
Zurich Research Lab.July 1995 

Burrows M, Abadi M, Needham R. Rejoinder to Nessett. Operating Systems Review, 1990, 
24(2): 39~40 

Burrows M, Abadi M.Needham R. A logic of authentication, Research report 39. digital systems 
research center. February 1989. In: Proceedings of the Royal Society of London A.1989.426: 
233 一 271 

Clark J,Jacob J. A survey of authentication protocol literature: Version 1. 0. Available at www- 


users. cs. york. ac. uk/~jac/under the link\Secure Protocols Review. 1997 


210 网 络 安全 协议 理论 与 技术 

[48 Coffey T,Saidha P. Non-repudiation with mandatory proof of receipt. Computer Communication 
Review. 1996,26(1): 6 一 17 

[49 Deng R H.Gong L.Lazar A,Wang W. Practical protocols for certified electronic mail. Journal of 
Network and Systems Management. 1996. (3): 279~297 

[50 Diffie W, Hellman M E. New Directions In Cryptography. IEEE Transactions on Information 
Theory, 1976 ,IT-22(6): 644~654 

[51 Dolev D, Yao A. On the Security of Public Key Protocols. IEEE Transactions on Information 
Theory, 1983,29(2): 198~208 

[52] Frier A, Karlton P, Kocher P. The SSL 3. 0 Protocol. Netscape Communication Corp. Nov 
18,1996 

[53 Gong L, Needham R, Yahalom R. Reasoning about belief in cryptographic protocols. In: 
Proceedings of the 1990 IEEE Computer Society Symposium on Research in Security and Privacy. 
Los Alamitos: IEEE Computer Society Press, 1990,234~248 

[54] Gong L. Cryptographic Protocols for Distributed Systems. Ph. D. thesis. University of 
Cambridge. April 1990 

[55] Guttman J D.Thayer F J. Authentication tests. In: Proceedings of the 2000 IEEE Symposium on 
Security and Privacy, Los Alamitos: IEEE Computer Society Press,2000,150~164 

[56] Horng G,Hsu C K. Weakness in the Helsinki protocol. Electronic Letters. 1998.34: 354~355 

[57] Kailar R. Reasoning about accountability in protocols for electronic commerce. In: Proceedings of 
the IEEE Symposium on Security and Privacy, Los Alamitos: IEEE Computer Society Press, 
1995 .236~250 

[58 Lowe G. Breaking and fixing the Needham-Schroeder public~ key protocol using FDR. Software- 
Concepts and Tools,1996,17: 93~102 

[59] Meadows C. The NRL Protocol Analyzer; An overview. Journal of Logic Programming, 1996, 
26(2): 113~131 

[60] Otway D,Ress O. Efficient and Timely Mutual Authentication, Operating Systems Review. 1987, 
21(1): 8 一 10 

[61 Rubin A D. Nonmonotonic Cryptographic Protocols. PhD thesis, University of Michigan, Ann 
Arbor, 1994 

[62 Schneider S A. Using CSP for protocol analysis: the Needham-Schroeder Public-Key Protocol, 
Technical Report CSD-TR-96-14, Royal Holloway, University of London. 1996 

[63 Song D. Athena. A New Efficient Automatic Checker For Security Protocol Analysis. In: 
Proceedings of the 1999 TEEE Computer Security Foundations Workshop. Los Alamitos: TEEE 
Computer Society Press.1999,192~202 

[64] Syverson P F, Van Oorschot P C. On Unifying Some Cryptographic Protocol Logics. In: 
Proceedings of the 1994 IEEE Computer Society Symposium on Research in Security and Privacy. 
Los Alamitos: IEEE Computer Society Press, 1994,.14~28 

[65] Thayer F J, Herzog J C.Guttman J D. Strand spaces: Proving security protocols correct. Journal 
of Computer Security. 1999.7(2.3): 191~230 

[66] Van Oorschot P C. Extending cryptographic logics of belief to key agreement protocols. In: 
Proceedings of the lst ACM Conference on Computer and Communications Security. ACM Press, 
1993,233~243 

[67] Woo T,Lam S. A Lesson on Authentication Protocol Design. Operating Systems Review. 1994, 


24~37 


参考 文献 211 


[68] 


[69] 


Zhou J, Gollmann D. Towards verification of non-repudiation protocols. In: International 
Refinement Workshop and Formal Methods Pacific 1998,Berlin: Springer-Verlag,1998,370~380 
Gong L. Variations on the Themes of Message Freshness and Replay. Proceedings, IEEE 
Computer Security Foundations Workshop.June 1993 

Hevia A and Kiwi M. Strength of Two Data Encryption Standard Implementations Under Timing 
Attacks. ACM Transactions on Information and System Security, November 1999 

Heys H and Tavares S. Avalanche Characteristics of Substitution Permutation Encryption 
Networks, IEEE Transactions on Computers,September 1995 

Huitema C. IPv6: The New Internet Protocol. Upper Saddle River, NJ: Prentice Hall,1998 

T Anson C. and Mitchell C. Security Defects in CCITT Recommendation X. 509-—— The Directory 
Authentication Framework. Computer Communications Review, April 1990 

Javitz H and Valdes A. The SRI IDES Statistical Anomaly Detector. Proceedings, 1991 IEEE 
Computer Society Symposium on Research in Security and Privacy, May 1991 

Jones R. Some Techniques for Handling Encipherment Keys. ICL Technical Journal, 
November 1982 

Jueneman R, Matyas S and Meyer C. Message Authentication, IEEE Communications Magazine, 
September 1998 

Jueneman R. Electronic Document Authentication, IEEE Network Magazine. April 1987 

Kaliski B and Robshaw M. The Secure Use of RSA. CryptoBytes, Autumn 1995 

Kaliski B and Robshaw M. Multiple Encryption: Weighing Security and Performance. Dr. Dobb’s 
Journal, January 1996 

Kehne A, Schonwalder J and Langendorfer H. A Nonce-Based Protocol for Multiple 
Authentications. Operating Systems Review .October 1992 

Koblas D and Koblas M. SOCKS. Proceedings, UNIX Security Symposium III,September 1992 
Kocher P. Timing Attacks on Implementations of Diffie-Hellman, RSA ,DSS,and Other Systems. 
Proceedings, Crypto’96, August 1996 

Kohnfelder L. Towards a Practical Public-Key Cryptosystem. Bachelor's Thesis, M. I. T., 
May 1978 

Kohl J. The Use of Encryption in Kerberos for Network Authentication, Proceedings,Crypto "89 
1989,New York: Springer-Verlag 

Kohl J, Neuman B and Ts’o T. The Evolution of the Kerveros Authentication Service. In Brazier 
F and Johansen D. Distributed Open Systems. Los Alamitos.CA; IEEE Computer Society Press, 
1994, Available at http: //web. mit. edu/kerberos/www/ papers. html 

Lam K and Gollmann D. Freshness Assurance of Authentication Protocols. Proceedings. 
ESORICS'92 .1992, New York: Springer-Verlag 

Lam K and Beth T. Timely Authentication in Distributed Systems. Proceedings, ESORICS'92 
1992, New York: Spring-Verlag 

Le A.Matyas S.Johnson D and Wilkins J. A Public Key Extension to the Common Cryptogrphic 
Architecture. IBM Systems Journal. No. 3.1993 

Lewand R. Cryptological Mathematics. Washington, DC: Mathematical Association of 
America, 2000 

Lipmaa H,Rogaway P and Wagner D. CTR Mode Encryption. NIST First Modes of Operation 
Workshop. October 2000 


http: //csre. nist. gov/encryption/modes 


212 网 络 安全 协议 理论 与 技术 
[91] Lodin S and Schuba C. Firewalls Fend Off Invasions from the Net. IEEE Spectrum, 
February 1998 
[92] Macgregor R, Ezvan C, Liguori L and Han J. Secure Electronic Transactions: Credit Card 
Payment on the Web in Theory and Practice. IBM RedBook SG24-4978-00, 1997. Available at 
www. redbooks. ibm 
[93 Madsen J. World Record in Password Checking. Usenet.comp. security. misc newsgroup, August 
18,1993 
[94 Mantin I, Shamir A. A Practical Attack on Broadcast RC4. Proceedings, Fast Software 
Encryption, 2001 
[95] Markham T. Internet Security Protocol. Dr. Dobb's Journal,June 1997 
[96] Matsui M. Linear Cryptanalysis Method for DES Cipher. Proceedings, Eurocrypt’93.1993, New 
York; Springer-Verlag 
[97] Matyas S. Key Handling with Control Vectors. IBM Systems Journal, No. 2,1991 
[98] Matyas S,Le A and Abraham D. A Key-Management Scheme Based on Control Vectors. IBM 
Systems Journal. No, 2.1991 
[99] Meinel C. Code Red for the Web. Scientific American, October 2001 
L100. Merkle R. Secrecy, Authentication, and Public Key Systems. Ph, D. Thesis, Standford 
University,June 1979 
C101 Merkle R and Hellman M. On the Security of Multiple Encryption. Communications of the 
ACM, July 1981 
{102 Merkle R. One Way Hash Functions and DES. Proceedings. CRYPTO’89. 1989, New York: 
Springer-Verlag 
[103 Mayer C and Matyas S. Cryptography: A New Dimension in Computer Data Security, New 
York; Wiley, 1982 
C104 Miller S, Neuman B, Schiller J and Saltzer J. Kerberos Authentication and Authorization System. 
Section E. 2. 1, Project Athena Technical Plan, M. I. T. Project Athena, Cambridge, MA. 27 
October 1988 
[105] Miller S. IPv6: The New Internet Protocol. Upper Saddle Rivers NJ: Prentice Hall, 1998 
[106] Mitchell C, Walker M and Rush D. CCITT/ISO Standards for Secure Message Handling. IEEE 
Journal on Selected Areas in Communications, May 1989 
[107] Mitchell C.Piper F and Wild P. Digital Signatures. In [SIMM92] 
[108] Muftic S. Security Mechanisms for Computer Networks. New York: Ellis Horwood.1989 
[109] Nechvatal J. Public Key Cryptography. In[SIMM92] 
[110] Nechvatal J,et al. Report on the Development of the Advanced Encryption Standard. National 
Institute of Standards and Technology. October 2.2000 
111 Needham R and Schroeder M. Using Encryption for Authentication in Large Networks of 
Computers. Communications of the ACM, December 1978 
[112] Neuman B and Stubblebine S. A Note on the Use of Timestamps as Nonces. Operating Systems 
Review. April 1993 
113 Oorschot P and Wiener M. A Known-Plaintext Attack on Two-Key Triple Encryption, 
Proceedings: EUROCRYPT’90.1990.New York: Springer-Verlag 
[114] Oppliger R. Internet Security; Firewalls and Beyond. Communications of the ACM, May 1997 
[115] Pfleeger C. Security in Computing. Upper Saddle River. NJ: Prentice Hall.1997 
[116] Popek G and Kline C. Encryption and Secure Computer Networks. ACM Computing Surveys. 


参考 文献 213 


December 1979 

Rabin M. Digitalized Signatures In Foundations of Secure Computation, DeMillo R, Dobkin D, 
Jones A and Lipton R. eds. New York: Academic Press.1978 

Rivest R,Shamir A and Adleman L. A Method for Obtaining Digital Signatures and Public Key 
Cryptosystems. Communications of the ACM, February 1978 

Rivest R. The MD4 Message Digest Algorithm. Proceedings, Crypto’90, August 1990, New 
York: Springer-Verlag 

Rivest R. The RC5 Encryption Algorithm. Proceedings,Second International Workshop on Fast 
Software Encryption, December 1994,New York: Springer-Verlag 

Schnorr C. Efficient Signatures for Smart Card. Journal of Cryptology, No. 3,1991 

Schneier B. Secrets and Lies; Digital Security in a Networked World. New York: Wiley.2000 
Shannon C. Communication Theory of Secrecy Systems. Bell Systems Technical Journal, No. 
4,1949 

Smith R. Internet Cryptography. Reading, MA; Addison-Wesley, 1997 

Stallings W. Data and Computer Communications. Sixth Edition, Upper Saddle River, NJ: 
Prentice Hall,2000 

Steiner J, Neuman C and Schiller J. Kerberos: An Authentication Service for Open Networked 
Systems. Proceedings of the Winter 1988 USENIX Conference. February 1988 

Stevens W. TCP/IP Illustrated. Volume 1: The Protocols. Reading, MA: Addison-Wesley.1994 
Thompson K. Reflections on Trusting Trust (Deliberate Software Bugs). Communications of 
the ACM, August 1984 

Tsudik G. Message Authentication with One-Way Hash Functions. Proceedings. INFOCOM’92, 
May 1992 

Tung B. Kerberos; A Network Authentication System. Reading, MA; Addison-Wesley ,1999 
Vaccaro H and Liepins G. Detection of Anomalous Computer Session Activity. Proceedings of 
the IEEE Symposium on Research in Security and Privacy, May 1989 

Voydock V and Kent S. Security Mechanisms in High-Level Network Protocols. Computing 
Surveys-June 1983 

Wack J, Cutler K and Pole J. Guidelines on Firewalls and Firewall Policy. NIST Special 
Publication SP 800-41, January 2002 

Williamson M. Thoughts on Cheaper Non-Secret Encryption, CESG Report. August 1976 

Woo T and Lam S. Authentication Revisted. Computer. April 1992 

Steiner M. Tsudik G. Waidrer M. Key agreement in dynamic peer groups[|]J ]. IEEE Transactions 
on Parallel and Distributed Systems.2000.11(8): 769~780 

Michael B., Birgit P, Michael W. Cryptographic protocols/network security: a composable 
cryptographic library with nested operations_C ]. Proceedings of the 10th ACMConference on 
Computer and Communications Security. New York: ACM Press,2003: 220~230 

Byun J W.Lee D H. N-party encrypted Diffie-Hellman key exchange using different passwords 
[C]. ACNS 2005. LNCS: Berlin: Springer-Verlag. 2005.3531: 75~90 

Dolev D, Yao A. On the security of public key protocols| J]. IEEE Transactions on Information 
Theory, 1983,25(2): 198~208 

Aboba B, Simon D. On the Security of Public Key Protocols[ J]. IEEE Trans on Information 
Theory, 1983,29(2): 198~208 

Thomas S A. IPng and the TCP/IP Protocol: Implementing the Next Generation Internet. New 


214 


网 络 安全 协议 理论 与 技术 


[142] 


[143 
[144 


a a 


[145 
[146 


a a 


[147] 


C148] 


[149] 


C161] 


York:John Wiley & Sons.1996 

Canetti R. Universally Composable Security: a New Paradigm for Cryptographic Protocols[ C1]. 
Proceedings of the 42nd IEEE Symposium on Foundations of Computer Science (FOCS). New 
York; IEEE Press,2001: 136 ~145 

Atkinson R J. Toward a More Secure Internet Computer. Jan. 1997,pp. 57~61 

Bellare M, Canetti R, Krawczyk H. A Modular Approach to the Design and Analysis of 
Authentication and Key-exchangeProtocols['C ]. Proceedings of the 30th Annual Symp on the 
Theory of Computing. New York: ACM Press,1998: 419~428 

Oppliger R. Authentication Systems for Secure Networks. Norwood. Mass: Artech House, 1996 

Canetti R, Krawczyk H. Security Analysis of IKE’s Signature -based Key-exchange Protocol[C]. 
LNCS, 2002,2442; 143~161 

Goldwasser S, Micali S,Rivest R. A Digital Signature Scheme Secure Against Adaptive Chosen- 
message Attacks[ J]. SIAM Journal on Computing, 1998.17(2); 281~308 

Bird R, Gobal I, Herzberg A and et al. Systematic design of a family of attack-resistant 
authentication protocols. Journal on Selected Areas in Communications, Vol. 11,No, 5,pp.679~ 
693,June 1993 

Gong L, Syverson P, Fail-stop protocols: An approach to designing secure protocols, Proc of 
Dependable Computing for Critical Applications 5, pp. 79 ~ 100, IEEE Computer Society 
Press.1998 

Kent S, Atkinson R. Security Architecture for the Internet Protocol. 1998 

Heather J, Lowe G and Schneider S. How to prevent type flaw attacks on security protocols, 
13th Computer Security Foundations Workshop. IEEE Computer Society Press.2000 

Kent S and Atkinson R. Security architecture for the Internet protocol. IETF,RFC 2401.1998 

Guttman J. Security protocol design via authentication tests. 15th IEEE Computer Security 
Foundations Workshop. pp. 92~103.Cape Breton, Canada, IEEE Computer Society Press.2002 

Maughan D, Shertler M and Turner J. Internet Security Association and Key Management 
Protocol, Internet Standard Track. RFC 2408. November 1998 

Hongcai Tao,Dake He. Normal forms and normalization of authentication protocols. Proc of the 
2006 International Conference on Computational Intelligence and Security, Vol. 2, pp. 1363 ~ 
1366 , Guangzhou China. IEEE Press.2006 

Aziz A, Patterson M and Baehr G. Simple Key-Management for Internet Protocols (SKIP). 
Proc. 1995 Intel Networking Conf. , Internet Soc. . Reston, VA; available at http: //www. isoc. 
org/ HMP/PAPER/244/abst. html 

Needham R.Schroeder M. Using encryption for authentication in large networks of computers. 
Communications of the ACM. 1978.21(12): 993~999 

Haller N The S/KEY One-Time Password System, Proc. Internet Soc. Symp. Network and 
Distributed System Security. Internet Soc. Reston, VA.1994.pp. 151~158 

Kailar R. Accountability in electronic commerce protocols. IEEE Transactions on Software 
Engineering. 1996,22(5): 313~328 

Secure Electronic Transaction (SET) Specification 一 Book 3: Formal Protocol Description, 
version 1. 0, Visa and MasterCard.May 1997; available online at http: //www-s2. visa. com/nt/ 
ecomm/set/set_bk3. pdf 

Deng R H, Gong L. Practical protocols for certified electronic mail. Journal of Network and 


Systems Management. 1996,4(3): 279~297 


参考 文献 215 


[162] 


[163] 


[C164] 


[C165] 


C166] 


C167] 


C168] 


C169] 


[170] 


[171] 


[172] 


[173] 


[174] 


[175] 


[C176] 


[177] 


[178 
[179 


[180] 


[C181] 


[182] 


Abadi M and Needham R. Prudent engineering practice for cryptographic protocols, IEEE 
Transaction. Software. Eng. ,vol. 22,pp. 6~15.Jan. 1996 

Mudge and Schneier B. Cryptanalysis of Microsoft’s point-to-point tunneling protocol (PPTP) ,Im 
Proc. 5th ACM Conf. Computer and Communications Security, 1998, pp. 132~141 

Georgiadis P,Gritzalis S and Spinellis D. Security protocols over open networks and distributed 
systems: Formal methods for their analysis.design and verification, Comput. Commun. ,vol. 22, 
pp. 695~707,May 1999 

Meadows C A. Formal verification of cryptographic protocols: A survey Advances in 
Cryptology Asiacrypt’94 New York: Springer -Verlag,1995,pp. 133~150 

Clark S C, Freedman S B and Millen J K. The interrogator: Protocol security analysis, IEEE 
Trans. Softw. Eng. ,Vol. SE-13.No. 2,1987 

Dolev D and Yao A, On the security of public key protocols IEEE Trans. Inform, Theory, Vol. 
IT\-29, pp. 198~208,Mar. 1983 

Kemmerer R. Analyzing encryption protocols using formal verification techniques, IEEE J. 
Select. Areas Commun. , Vol. 7.pp. 448~457,May 1989 

Snekkenes E. Formal Specification and Analysis of Cryptographic Protocols. Ph. D. dissertation 
Oslo, Norway: Univ. Oslo,1995 

Paulson L. Proving properties of security protocols by induction. In Proc. IEEE Security 
Foundations Workshop X,1997.pp. 70~83 

Paulson L. Mechanized proofs for a recursive authentication protocol. In Proc. IEEE Security 
Foundations Workshop X,.1997.pp. 84~94 

Bolignano D. An approach to the formal verification of cryptographic protocols. In Proc. 3rd 
ACM Conf. Computer and Communications Security, 1996.pp. 106~118 

Heintze N and Tygar J D. A model for secure protocols and their compositions. In Proc. IEEE 
Computer Society Symp. Research Security and Privacy, May 1994,pp. 2 一 13 

Bekmann J P, Goede P De and Hutchison A C M. SPEAR: Security protocol engineering and 
analysis resources. In Proc. DIMACS Workshop on Design and Formal Verification of Security 
Protocols,Sept. 1997 

Gong L. Efficient network authentication protocols: Lower bounds and optimal 
implementations, Distributed Comput. Vol. 9,pp. 131~145.1995 

Yi L J. Bai G Q, Xiao G Z. Proxy multi-signature scheme: A new type of proxy signature 
scheme. Electron Lett. 2000.36(6): 527~528 

Brackin S H and Lichota R W. CASE for high assurance: Utilizing commercial technology for 
automated cryptographic protocol analysis. In Proc. 6th Annual Dual-Use Technologies and 
Applications Conf, ,June 1996 

Shamir A. How to share a secret. Communication of ACM. 1979.22(11): 612~613 

Lichota R, Hammonds G and Brackin S H Verifying the correctness of cryptographic protocols 
using convince. In Proc. 12th IEEE Computer Security Applications Conf. .1996.pp. 117~128 
Mambo M, Usuda K.Okamoto E. Proxy signatures: Delegation of the power to sign messages. 
IEICE Trans on Fundam. 1996.E79-A (9): 1338~1354 

Lichota R W, Hammonds G L and Brackin S H. Verifying cryptographic protocols for electronic 
commerce, Presented at the Proc. 2nd USENIX Workshop on Electronic Commerce Oakland. 
CA,Nov. 1996 


Sun H M. An efficient nonrepudiable threshold proxy signature scheme with known signers. 


216 网 络 安全 协议 理论 与 技术 
Computer Communications. 1999,22(8): 717~722 
[183] Berry MS. Hutchison A C M and E. Saul. Predicting the performance of transactional 
electronic commerce protocols. In Proc. 7th Annual Working Conf. Information Security 
Management and Small Systems Security Amsterdam, The Netherlands,Sept. 1999.pp. 161~175 
[184] Wang C T,Lin C H.Chang C C. Threshold signature schemes with traceable signers in group 
communications. Computer: Communications. 1998,.21(8): 771~776 
[185] Saul E and Hutchison A C M. A generic graphical specification environment for security protocol 
modeling. In Proc. 6th Annual Working Conf. Information Security Beijing,China, Aug. 2000, 
pp. 311~320 
[186] Cao Zhenfu. A threshold key escrow scheme based on public key cryptosystem. Science in China 
(Series E). 2001,44(4); 441~448 
[187] Saul E and Hutchison A C M. A graphical environment for the facilitation of logic-based security 
protocol analysis. South African Computer J. , Vol. 26,pp. 196~200,Nov. 2000 
[188] Tseng Y M.Jan J K. Attacks on threshold signature schemes with traceable signers . Information 
Processing Letters. 1999.71(1): 1 一 4 
[189] Gong L. Handling infeasible specifications of cryptographic protocols. In Proc. 4th IEEE 
Security Foundations Workshop Franconia, NH.June 1991.pp. 99~102 
[190] Gong L, Needham R and Yahalom R. Reasoning about belief in cryptographic protocols. In 
Proc. IEEE Symp. Research in Security and Privacy Oakland.CA,1990,pp. 234~248 
191 Caceres R and Iftode L. Improving the performance of reliable transport protocols in mobile 
computing environments. IEEE J. Select. Areas Commun, ,Vol. 13 ,pp. 850~857,June 1994 
192] Rescorla E. SSL and TLS: Designing and Building Secure Systems. Reading. MA: Addison- 
Wesley. 2001 
[193] Harkins D and Carrel D. The Internet key exchange (IKE). IETF,RFC 2409,1998 
[194] Zhang Y and Singh B. A multi-layer IPSec protocol. In Proc. Usenix Security Symp. . Aug. 
2000, pp. 213~228 
195 Abadi M, Needham R. Prudent engineering practice for cryptographic protocols. IEEE 
Transactions on Software Engineering, Vol. 22,No. 1.pp. 6 一 15 .January 1996 
L196 Abadi M. Explicit communication revisited; two new attacks on authentication protocols, IEEE 
Transactions on Software Engineering, Vol. 23,No. 1,pp. 185~186.March 1997 
197] Clark J A and Jacob J L. A survey of authentication protocol literature. Version 1, 0, November 
1997, available at http: //www-users. cs. york. ac. uk/jac/ 
[198] Clark J A and Jacob J L. Protocols are Programs Too: the Meta-heuristic Search for Security 
Protocols. Information and Software Technology. Vol. 43.891~904,2001 
[199] Heather J, Lowe G and Schneider S. How to prevent type flaw attacks on security protocols. In 
Proceedings of 13th IEEE Computer Security Foundations Workshop. 255 ~ 268.2000 
[200] Needham R and Schroeder M. Using encryption for authentication in large networks of 
computers. Comm. ACM,21(12),.993~999,1978 
[201] Neumann B C and Stubblebine S G. A note on the use of timestamps as nonces. ACM Operating 
Systems Reviews,27(2),10~14.April 1993 
[202] Paulson L C. Proving security protocols correct. In Proceedings of 14th Symposium on Logic in 
Computer Science, 370~381,1999 
[203] Li Y,Yang W and Huang C W. Preventing Type Flaw Attacks On Security Protocols With A 


Simpli. Ed Tagging Scheme, Journal of Information Science and Engineering (accepted), 


参考 文献 217 


[204] 


July 2004 

Yang W and Tsay C-W. A Logic Approach To The Veri. Cation And Testing Of Security 
Protocols, In Proceedings of International Conference on Commuincations and Computer 
Networks (CCN 2002) (Cambridge. MA , November 4-6) ,140~145,2002 

Schulzrinne H and Rosenberg J. The Session Initiation Protocol: Internet-centric Signaling. 
IEEE Communications Magazine, Vol. 38,Oct 2001 

Camarillo G et al. Evaluation of transport protocols for the session initiation protocol. TEEE 
Network, Vol. 17,No. 5,Oct 2003 

Salsano S et al.. SIP security issues: the SIP authentication procedure and its processing load. 
IEEE Networks. Vol. 16.No. 6,Dec. 2002 

Rosenberg J et al. ,SIP: Session Initiation Protocol, IETF RFC 3261,Jun 2002 

SIP security modules for ns-2,available at http; //hit. skku. edu/~eccha 

Karnin E D, Greene J W, Massey J L. On Secret Sharing Systems. IEEE Trans. Inform. 
Theory, 1983,IT-29(1); 35~41 

Stinson D R. An Explication of Secret Sharing Schemes. DES. Codes Crypt, 1992, (2): 
357~390 

Ito M Saito A and Nishizeki T. Secret Sharing Scheme Realizing General Access Structure. In 
Proceeding of IEEE Globecom’87. 99~102 

Benaloh J, Leichter J. Generalized secret sharing and monoton functions: advances in 
cryptology--CRPTO’88, Lecture Notes in Computer Science, Springer, Berlin, 1990,27~35 
Abrams M D, Jajodia S,Podell H J. Information Security: An Integrated Collection Of Essays. 
California, USA: IEEE Computer Society Press Los Alamitos,1995 

James P Anderson. Computer Security Technology Planning Study. ESD -TR-73-51, ESD/ 
AFSC,1972 

Atluri V, Jajodia S, Keefe T F. et al. Multilevel Secure Transaction Processing: Status and 
Prospects. Database Security Volume X, Status and Prospects, IFIP TCll/WG11. 3 Tenth 
Interntional Conference on Database Security: 79~98,1996 

Castano S,Fugini M G, Martella G,et al. Database Security. NY: ACM Press/ Addison-Wesley 
Publishing Company.1995 

Fugini M G. Secure Database Development Methodologies. In Database Security: Status and 
Prospects. Annapolis. Maryland: North-Holland: 103~129.1988 

Spooner D L. Relationships Between Database System And Operating System Security. DBSec: 
149~158,1987 

Boyd C and Mao W. Limitations Of Logical Analysis Of Cryptographic Protocols. 
EuroCrypto.1993 

Davies D W and Price W L. Security for Computer Nefworks (second edition). John Wiley & 
Sons, 1989 

Gaarder K and Snekkenes E. Applying A Formal Analysis Technique To The CCITT X. 509 
Strong Two-Way Authentication Protocol. Journal of Cryptology.3(2): 81~98.1991 

Kailar R and Gligor V D. On Belief Evolution In Authentication Protocols. In Proceedings of 
Computer Security Foundations Workshop. pp. 171~181. IEEE Computer Society Press,1991 
Otway D and Rees O. Efficient and timely mutual authentication. Operating Systems Review, 
Vol. 21(1): 8~10,1987 

Syverson P. The Use Of Logic In The Analysis Of Cryptographic Protocols. In Proceedings of 


网 络 安全 协议 理论 与 技术 


218 
Computer Security Foundations Workshop. pp 156 一 170. IEEE Computer Society Press,1991 

[226] Abadi M and Needham R. Prudent Engineering Practice For Cryptographic Protocols. Research 
Report 125,Digital Equipment Corporation Systems Research Center,1994 

[227] Bird R, Gopal I, Herzberg A.Janson P A,Kutten S,Mulva R and Yung M. Systematic Design Of 
Two-Party Authentication Protocols. In Proceedings of Crypt0’91: Advances in Cryptology. 
volume 576 of Lecture Notes in Computer Science,pp. 44~61. Springer-Verlag. 1991 

[228] Clark J and Jacob J. On the security of recent protocols. Information Processing Letters.56(3) : 
151-~155,1995 

[229] Diffie W, Van Oorschot P C and Wiener M J. Authentication And Authenticated Key 
Exchanges. Designs.Codes and Cryptography.2: 107~125.1992 

[230] Hwang T and Chen Y-H. On The Security Of SPLICE/AS—The Authentication System In 
WLDE Internet. Information Processing Letters,53; 97~101,1995 

[231] Hwang T, Lee N-Y.Li C-M.KO M-Y and Chen Y-H. Two attacks on Neuman-Stubblebine 
authentication protocols, Information Processing Letters,53: 103~107,1995 

[232] Lowe G. An attack on the Needham-Schroeder public-key authentication protocol, Information 
Processing Letters,56; 131~133,1995 

[233] Millenl J K, Clark S C and Freedman S B, The interrogator: Protocol security analysis IEEE 
Transactions on software Engineering. 13(2).1987 

[234] Needham R and Schroeder M. Using encryption for authentication in large networks of 
computers. Communications of the ACM,21(12): 993~999,1978 

[235 Roscoe A W. Modelling and verifying key-exchange protocols using CSP and FDR. In 8th IEEE 
Computer Security Foundations Workshop. 1995 

[236] Roscoe A W. Intensional spxifications of security protocols. In 9th IEEE Computer Security 
Foundations Workshop. 1996 

[237] Snekkenes E. Roles in cryptographic protocols. In Proceedings of IEEE Symposium on Research 
in Security and Privacy, pp. 105~119,1992 

[238] Syverson P. On key distribution protocols for repeated authentication. Operating Systems 
Review.27(4): 24~30,.1993 

[239] Woo T Y C and Lam S S. A lesson on authenticated protocol design. Operating Systems 
Review, 28(3): 24~37.1994 

[240] Yamaguchi S. Okayama K and Miyahara H. Design and implementation of an authentication 
system in WIDE Internet environment. In Proc. 10th IEEE Region Conf. on Computer and 
Communication Systems.1990 

(241 Roscoe A W. Proving security protocols with model checkers by data independence techniques. 
In 11th Computer Security Foundations Workshop. pp. 84~95.1998 

[242] The SSL protocol. Available via http: //home. netscape. com/newsref/std/SSL. html,1996 

[243] Misarsky J. How (Not) to Design RSA Signature Schemes. Public Key Cryptography. Imai H 
and Zheng Y(Eds. ). Lecture Notes in Computer Science 1431, Springer-Verlag, 1998 

[244] Preneel B, Rijmen V and Bosselaers A. Recent Developments in the Design of Conventional 
Cryptographic Algorithms. State of the Art in Applied Cryptography. Preneel B and Rijmen V 
(Eds. ). Lecture Notes in Computer Science 1528, Springer-Verlag, 1998 

[245] Brackin S. Automatically Detecting Most Vunerabilities in Cryptographic Protocols, in The 
DARPA Information Survivability Conf and Exposition. Jan 2000, Vol. 1,pp. 222~236 

[246] Justin Childs. Evaluating the TLS Family of Protocols with Weakest Precondition Reasoning. 


参考 文献 219 


[264] 


[265] 


[266 ] 


[267] 


Technical Report. Florida State University Department of Computer Science. http: //www. cs. 
fsu. edu/research/reports 

Dierks T and Allen C. The TLS protocol: Version 1.0. Request for Comments: 2246,available 
at ftp: //ftp. isi. edu/in-notes/rfe2246. txt 

Kelsey J, Schneier B and Wagner D. Protocol interactions and the chosen protocol attack, in 
Lecture Notes in Computer Science,1361. pp. 91~104, Heidelberg: Springer, Berlin, 1998 
Catherine Meadows. Analysis of the Internet Key Exchange Protocol Using the NRL Protocol 
Analyzer. IEEE Symposium on Security and Privacy.1999 

Mitchell J C, Shmatikov V and Stern U. Finite-state analysis of SSL 3.0 and related protocols, 
In Workshop on Design and Formal Verification of Security Protocols Sept. 1997,DIMACS 
Paulson L C. Inductive Analysis of the Internet Protocol TLS Technical Report 440, Cambridge 
University Computer Science Laboratory.1998 

Wagner D and Schneier B. Analysis of the SSL 3. 0 Protocol, In D. Tygar Ed. , USENIX 
Workshop on Electronic Commerce, pp. 29~40, USENIX Association, 1996 

Alec Yasinsac and William A Wulf. A Framework for A Cryptographic Protocol Evaluation 
Workbench Proceedings of the Fourth IEEE International High Assurance Systems Engineering 
Symposium (HASE99). Washington D, C. .Nov. 1999 

Peluso L,Cotroneo D, Romano S P, Ventre G ASSYST: an Active Security System against DoS 
attacks-Technical Report. Apr. 2001,Dept. of Computer Sciences, University of Napoli. Italy 
W W W Consortium, The World Wide Web Security FAQ. http: //www. w3. org/Security/faq/ 
www-security-faq. html, 1998 

IPSec Working Group. http: //www. iet{. org/html. charters/ipsec-charter, html 

Burke J, McDonald J and Austin T. Architectural support for fast symmetric-key cryptography. 
In Proc. Int. Conf. ASPLOS,pp. 178~189, Nov. 2000 

Potlapally N.Ravi S,Raghunathan A and Lakshminarayana G. Optimizing public-key encryption 
for wireless clients. In PMC. IEEE Int. Conf. Communications, pp. 1050~1056,May 2002 
Apostolopoulos G,Peris V,Pradhan P and Saha D. Securing electronic commerce; Reducing the 
SSL overhead. TEEE Network.pp. 8~16. July 2000 

Wong DS and Chan A H. Mutual authentication and key exchange for low power wireless 
communications. In Proc. IEEE MILCOM Conf. pp. 39~43.Oct. 2001 

Open SSL Project. http: //www. openssl. org 

Yin Y L. The RC5 encryption algorithm: Two years on RSA Laboratories’ Cryptobytes. Vol. 
winter, pp. 14~15,1997 

Miltchev S.Loamidis S and Kcromytis A D. A Study of the Relative Costs of Network Security 
Protocols,in Proceedings of the USENIX Annul Technical Conference. Freenix Track. pp. 41~ 
48.June 2002 

Boneh D and Shacham N. Improving SSL Handshake Performance via Batching. in Proceedings 
of the RSA Conference. January 2001 

Goldberg A,Buff R and Schmin A. Secure Web Server Performance Dramatically Improved By 
Caching SSL Session Keys in Workshop on Internet Server Performance. Held in conjunction 
with SIGMETRICS, June 1998 

Boe M (1998). TLS-based Telnet Security. [cited 15 Dec 1998] http: //www. ietf. org/ 
internetdrafts/drafts-ietf-tn3270e-telnet-tls-O1. txt 


Stallings W. Network Security Essentials: Applications and Standards. New Jersey: Prentice 


220 


网 络 安全 协议 理论 与 技术 


[275] 


[276] 


[277] 


[278] 


[279] 


[280] 


[281] 


[282] 


[283] 


[284] 


[285] 


[286] 


[287] 


Hall, 2000 

Wood Y K. Transport Layer Security (TLS) using RSA and RC4 Cryptography Modules, 
University of Malaya (unpublished) , 1999 

Thomas A S. SSL and TLS Essentials: Securing the Web. New York: Wiley.2000 

Roscarla E. SSL and TLS: Designing and Building Secure Systems. Boston: Addison- 
Wesley, 2001 

Asokan N, Schunter M, Waidner M. Optimistic Fair Exchange of Digital Signatures. IEEE 
Journal on Selected Areas in Communications 18,2000. pp. 593~610 

Ateniese G. Efficient Verifiable Encryption (and Fair Exchange) of Digital Signatures. 
Proceedings of ACM Conference on Computer and Communications Security,1999,pp. 138~146 
Bao F, Deng R, Mao W. Efficient and Practical Fair Exchange Protocols with Off-line TTP. 
Proceedings of IEEE Symposium on Security and Privacy,1998,pp. 77~85 

Chen L. Efficient Fair Exchange with Verifiable Confirmation of Signatures. Proceedings of 
Advances in Cryptology ASIACRYPT’98,LNCS, Vol. 1514, Springer-Verlag, Berlin, Germany, 
1998, pp. 286~ 299 

Deng R H, Gong L, Lazar A A, Wang W. Practical Protocols for Certified Electronic Mail. 
Journal of Network and System Management,4(3),.1996,pp. 279~ 297 

Markowitch O, Saeednia S. Optimistic Fair Exchange with Transparent Signature Recovery. 
Proceedings of 5th International Conference Financial Cryptography 2001, LNCS, Springer- 
Verlag,2001 

Ray I. An Optimistic Fair Exchange Ecommerce Protocol with Automated Dispute Resolution. 
Proceedings of Ist International Conference on E-Commerce and Web Technologies EC-Web 
2000,LNCS, Vol. 1875, Springer-Verlag. Berlin, Germany, 2000, pp. 84~93 

Shi Q. Zhang N, Merabti M. Signature-based approach to fair document exchange. 
Communications. IEEE Proceedings, 150(1).2003,pp. 21~27 

Zhou J, Deng R. Bao F. Some Remarks on a Fair Exchange Protocol, Proceedings of 
International Workshop on Practice and Theory in Public Key Cryptography. LNCS, Vol. 1751, 
Springer-Verlag, 2000, pp. 46~57 

Adi K and Debbabi M. A game semantics and approach for security procotols. In 6th 
International Symposium on Programming and Systems, ISPS'2003.pp 209 ~ 227.2003 

Adi K, Debbabi M and Mejri M. A New Logic for Electronic Commerce Protocols. Theoretical 
Computer Science (TCS) .291(3) .2003 

Lowe G. SPLICE-AS. A Case Study in Using CSP to Detect Errors in Security Protocols. 
Technical report. Programming Research Group, Oxford.1996 

Stoller S D. A bound on attacks on payment protocols. In Logic in Computer Science. pp. 61~ 
70,2001 

Lee H and Kim K. An Adaptive Authentication Protocol based on Reputation for Peer-to-Peer 
System. The 2003 Symposium on Cryptography and Information Security. Jan 2003 

Leslie Lamport. Password Authentication with Communication. Communications of the ACM. 
pp. 770~771.Number 81, Volume 24, November 1981 

Adrian Perrig, Ran Canetti, Tygar J D and Dawn Song. The TESLA Broadcast Authentication 
Protocol. RSA Cryptobytes,Summer 2002 

Wong DS,Chan A H. Efficient and mutually authenticated key exchange for low power 
computing devices. Proceedings of ASIACRYPT.2001 


参考 文献 221 


[288] 


[289] 


[290] 


[291] 


[292] 


[303] 


C304] 


[305] 


[306 ] 


[307] 


[C308] 


Beller M J, Chang L F, Yacobi Y. Privacy and authentication on a portable communications 
system. IEEE Journal on Selected Areas in Communications, 1993 , pp. 16 一 23 

Bella G, Massacci F and Paulson L C. Verifying the SET registration protocols. IEEE Journal of 
Selected Areas in Communications, 21(1): 77~87,2003 

Bellare M, Garay J A, Hauser R, Herzberg A.Krawczyk H.Steiner M,Tsudik G, Herreweghen E 
V.Waidner M. Design, implementation and deployment of the Ikp secure electronic payment 
system. IEEE Journal of Selected Areas in Communications 18,2000 , pp. 611~627 

Cox B, Tygar J D and Sirbu M. NetBill Security and Transaction Protocol. In Proceedings of the 
First USENIX Workshop in Electronic Commerce, July.1995 . pp. 77~88 

Fielding R, Gettys J», Mogul J.Frystyk H.Masinter L,Leach P and Berners-Lee T. Hyper Text 
Transfer Protocol-HTTP/1. 1. Standards Track, RFC 2616, Internet Engineering Task 
Force, 1999 

IP Encapsulating Security Payload (ESP). Standards Track, RFC 2406, Internet Engineering 
Task Force, 1998 

Postel J. Transmission Control Protocol. RFC 793,USC/Information Services Institute, 1981 
Zhang Y. A multilayer IP security protocol for TCP performance enhancement in wireless 
networks, IEEE Journal on Selected Areas in Communications. May 2004 

Rabin M O. Efficient Dispersal of Information for Security, Load Balancing ,and Fault Tolerance. 
Journal of ACM, Vol. 36.No. 2.pp.335~348,Apr. 1989 

Frankel Y. A Practical Protocol for Large Group Oriented Networks Proc. Of Eurocrypt 1989 
Perrig A, Szewczyk R, Wen V.Cullar D and Tygar J D. Spins: Security Protocol for Sensor 
Networks, In Proceedings of the 7th Annual ACM/IEEE International Conference on Mobile 
Computing and Networking (MobiCom) ,Rome.Italy.July 2001.pp. 189~199 

Batina L, Ors S B, Preneel B, Vandewalle J. Hardware Architectures for Public Key 
Cryptography. Integration. The VLSI Journal,34 (2003) ,pp. 1 一 64 

Abadi M. Secrecy by typing in security protocols. Journal of the ACM, Vol. 46,pp. 749~786, 
September 1999 

Clarke E, Jha S and Marrero W. Partial order reductions for security protocol verification, Tools 
and Algorithms for the Construction and Analysis of Systems.2000 

Cohen E. TAPS: a first-order verifier for cryptographic protocols. Proceedings of the 13th IEEE 
Computer Security Foundations Workshop. pp. 144 ~ 158. IEEE Computer Society Press, 
June 2000 

Dolev D, Even S and Karp R. On the security of Ping-Pong protocols. Information and Control. 
pp. 57~68.1982 

Even S and Goldreich O. On the security of multi-party ping-pong protocols. In Proceedings of 
the 24th IEEE Symposium on the Foundations of Computer Science, pp. 3439, IEEE Computer 
Society Press.1983 

Longley D and Rigby S. An automatic search for security flaws in key management schemes. 
Computers and Security. Vol. 11.pp. 75~90.1992 

Lowe G. Towards a completeness results for model checking security protocols. Journal of 
Computer Security, Vol. 7.pp. 89~146.1999 

Meadows C. Applying Formal Methods to the Analysis of a Key Management Protocol. Journal 
of Computer Security, Vol. 1.pp. 5~53,1992 

Song D.Berezin S and Perrig A. Athena: A Novel Approach To Efficient Automatic Security 


222 网 络 安全 协议 理论 与 技术 
Protocol Analysis. Journal of Computer Security, Vol. 9,pp. 47 一 74,2001 

[309] Thayer F Fabrega, Herzog J and Guttman J. Strand spaces: Why is a security protocol correct? 
In Proceedings of the 1998 IEEE Symposium on Security and Privacy, pp. 160 ~ 171. IEEE 
Computer Society Press, May 1998 

[310] Perrig A and Song D. A first step towards the automatic generation of security protocols. In 
Network and Distributed System Security Symposium, NDSS’00, pp. 73~84, February 2000 

[311] Bhargavan K, Fournet C and Gordon A D. Verifying policy-based security for web services. In 
llth ACM Conference on Computer and Communications Security (CCS’04) , pp. 268 ~ 277, Oct. 
2004 

[312] Bhargavan K, Fournet C and Gordon A D. Policy advisor for WSE 3. 0. In Web Service 
Security: Scenarios, patterns, and implementation guidance for Web Services Enhancements 
CWSE) 3.0. Microsoft Press,2006 

[313] Bhargavan K, Fournet C, Gordon A D and Pucella R. TulaFale: A security tool for web 
services. In International Symposium on Formal Methods for Components and Objects 
(FMCO'03), volume 3188 of LNCS, pp. 197~222,Springer,2004 

[314] Perrig A. Song D and Phan D. AGVI—automatic generation, verification.and implementation of 
security protocols. In 13th Conference on Computer Aided Verification (CAV), LNCS, 
pp. 241~245, Springer, 2001 

315 Murphy S, Lewis E,Puga R, Watson R. Strong Security for Active Networks. IEEE OpenArch 
2001 
316] Cheng L, Galis A. Strong Authentication for Active Networks, TEEE-Softcom 2003, http: // 

www. ee. ucl. ac. uk/~Icheng/Papers/SOFTCOM_2003. pdf 

[317] Murphy S, Hayatnagarkar A, Krishnaswamy S. Prophylactic, Treatment and Containment 
Techniques for Ensuring Active Network Security, IEEE DARPA, 2003 

[318] Doraswamy N, Harkins D. IPSec: The New Security Standard for the Internet. Intranets. and 
Virtual Private Networks, 2nd edition, ISBN: 0-13-046189-X. Prentice-Hall PTR, 2003, 
pp. 220~232 

[319] Aiello W, Bellovin S.Blaze M, Canetti R, Ioannidis J. Keromytis A. Reingold O. Efficient, DoS- 
Resistant Secure Key Exchange for Internet Protocols. ACM Computers and Communications 
Security Conference(CCS) ,2002 

[320] Kam P, Simpson W. The Photuris Session Key Management Protocol. draft-ietf-ipsec-photuris- 
03. txt, September 1995 

[321] Eronen P. Denial of service in public key protocols. In Proceedings of the Helsinki University of 
Technology Seminar on Network Security, December 2000, http: //www. niksula. hut, fi/~ 
peronen/publications/netsec_2000. pdf 

[322] Matsuura K, Imai H. Modification of Internet Key Exchange Resistant against Denial-of- 
Service. In Proc. Of Internet Workshop 2000(IWS°2000) . pp. 167 ~ 174 , Feb. 2000 

[323] Coppersmith D, Franklin M,Patarin J, Reiter M. Low-exponent RSA with related message. In 
Advances in Cryptology——EUROCRYPT 1996, Vol. 1070 of LNCS, Springer-Verlag. pp. 1 一 9 

[324] Cheng L., Galis A. Simple Key Exchange for Active Networks. TEEE-ICON 2005.http: //www. 
ee, ucl, ac. uk/ ~lcheng/Papers/ICON_2005. pdf 

[325] Steiner M, Tsudik G and Waidner M. Cligues: A New Approach to Group Key Agreement. 


Proc. 18th Int’l Conf. Distributed Computing Systems (ICDCS’98), IEEE CS Press, 1998, 
pp. 380~ 387 


参考 文献 223 


[326 


[327 


[328 


[329 


Nguyen L H and Roscoe A W. Efficient Group Authentication Protocols Based on Human 
Interaction. Proc. FCS-ARSPA,2006.pp. 9~32 

Diffie W and Hellman M E. New Directions in Cryptography. IEEE Trans. Information 
Theory, Vol. 22,No. 6,1976,pp. 644~654 

Laur S and Nyberg K. Efficient Mutual Data Authentication Using Manually Authenticated 
Strings. Proc. 5th Int'l Conf. Cryptology and Network Security (CANS’06), LNCS 4301, 
Springer, 2006, pp. 90~ 107 

Ku W C and Chen S M. Weakness and improvements of an efficient password based remote user 
authentication scheme using smart card. IEEE Trans. On Consumer Electron. , Vol. 50, No. 1, 
pp. 204~207,2004 

Sun H, Chen B and Hwang T. Secure key agreement protocols for three-party against guessing 
attacks. The Journal of Systems and Software. Vol. 5,No. 12,.pp. 497~499,2001 

Enge A. Elliptic Curves and Their Applications to Cryptography. Norwell, MA: Kluwer 
Academic Publishers,1999 

Fernandes A. Elliptic Curve Cryptography. Dr. Dobb’s Journal, December 1999 

Jurisic A and Menezes A, Elliptic Curves and Cryptography. Dr. Dobb’s Journal, April 1997 
Guajardo J, Paar C. Efficient algorithms for elliptic curve cryptosystems. Advances in 
Cryptology-Crypto’99 of LNCS,.1999,(1716): 75~85 

美国 国家 安全 局 著 . 中 国 国 家 973 信息 与 网 络 安全 体系 研究 课题 组 组 织 翻译 . 信息 保障 技术 框 
架 3. 0. 北京 : 中 软 电子 出 版 社 ,2002 

(2) Bruce Schneier 著 . 吴 世 忠 等 译 . 应 用 密码 学 一 一 协议 、 算 法 与 C 语言 程序 . 北京 : 机 械 工 
业 出 版 社 ,2000 

中 华人 民 共 和 国 国 家 标准 .GB17859-1999. 计算 机 信息 系统 安全 保护 登记 划分 准则 

WAR. 密码 分 析 学 . 北京 : 清华 大 学 出 版 社 . 桂 林 : 广西 科学 技术 出 版 社 ,2000 

TEE SET A. 网 络 安全 与 密码 学 . 贵州 : 贵州 科技 出 版 社 .2004 

Bauer F L. 密码 编码 和 密码 分 析 一 一 原理 与 方法 .北京 : 机 械 工 业 出 版 社 ,2001 

RRE. 国外 PKI/CA 体系 发 展 状况 的 研究 .计算 机 安全 ,2001.09 

王 可 . MDS 算法 研究 .中 文 信息 ,2002.02 

FEA BA. 应 用 编码 与 计算 机 密码 学 .北京 : 清华 大 学 出 版 社 .2005 

李 大 友 主编 , 戴 英 侠 , 许 剑 卓 等 编著 . 计算 机 网 络 安全 . 北京: 清华 大 学 出 版 社 ,2005 

何 德 全 . 安全 协议 .北京 : 清华 大 学 出 版 社 .2005 

李 海 泉 , 李 健 . 计算 机 网 络 安全 与 加 密 技 术 . 北京 : 科学 出 版 社 ,2001 

张 敏 , 冯 登 国 . 数据 库 安全 . 北京 : 科学 出 版 社 ,2005 

楚 狂 等 .网络 安全 与 防火 墙 技术 .北京 : 人 民 邮 电 出 版 社 ,2000 

( 美 )Keith E Strassberg, Richard J Gondek.Gary Rollie 等 著 . Æ F . XSF SE. HI. FEMS SE. 防 
火 墙 技 术 大 全 .北京 : 机 械 工业 出 版 社 ,2003 

张 福 泰 , 李 继 国 等 主编 . 密码 学 教程 .武汉 : 武汉 大 学 出 版 社 .2006 

Abadi M,Gordon A D. A calculus for cryptographic protocols: The spi calculus. In 4th ACM 


Conference on Computer and Communications Security.1997.36~47 


感谢 您 购买 本 书 ! 清华 大 学 出 版 社 计 算 机 与 信息 分 社 专心 致力 于 为 广大 院 校 电子 信 


教师 反馈 表 


息 类 及 相关 专业 师 生 提供 优质 的 教学 用 书 及 辅助 教学 资源 。 


我 们 十 分 重视 对 广大 教师 的 服务 ,如 果 您 确认 将 本 书 作为 指定 教材 ,请 您 务必 填 好 以 
下 表格 并 经 系 主任 签字 盖 章 后 寄 回 我 们 的 联系 地 址 ,我 们 将 免费 向 您 提供 有 关 本 书 的 其 


他 教学 资源 。 


您 需要 教 辅 的 教材 : 


您 的 姓名 : 


院 系 : 


院 / 校 : 


您 所 教 的 课程 名 称 : 


学 生 人 数 /所 在 年 级 : 


学 时 /学 其 


您 目前 采用 的 教材 : 


出 版 社 : 


您 准备 何 时 用 此 书 授课 : 


通信 地 址 : 


邮政 编码 : 


联系 电话 


E-mail; 


您 对 本 书 的 意见 /建议 : 


系 主任 签字 


我 们 的 联系 地 址 : 


清华 大 学 出 版 社 学 研 大 厦 A602,A604 室 


邮编 : 100084 


Tel: 010-62770175-4409 ,3208 
Fax: 010-62770278 


E-mail: liuli@tup. tsinghua. edu. cn; hanbh@tup. tsinghua. edu. cn 


